Специалисты компании Symantec предупредили, что еще в марте 2016 года им удалось обнаружить новую версию трояна Android.Fakebank.B. Эту малварь саму по себе никак нельзя назвать новой, но эксперты заметили, что «вредонос» обзавелся новыми функциями. В частности, Fakebank не дает своим жертвам связаться со службой поддержки некоторых российских и южнокорейских банков, тем самым мешая пострадавшему заблокировать скомпрометированную карту.
Впервые Android.Fakebank.B был обнаружен еще в 2013 году. Исследователи писали, что малварь маскируется под легитимное приложение Android, тогда как на самом деле, регистрирует себя как системный сервис, запрашивает с сервера злоумышленников файл конфигурации и устанавливает на устройство вредоносное APK.
Основная цель Fakebank — хищение денежных средств жертвы. Для этого малварь сначала похищает учетные данные от любых банковских приложений, установленных на зараженном устройстве, и отправляет их на управляющий сервер. Затем Fakebank инициирует ряд незаконных транзакций.
Если жертва замечает что-то подозрительное и видит, что средства с банковского счета куда-то утекают, в дело вступает компонент BroadcastReceiver, который отслеживает все исходящие звонки на зараженном девайсе. Если набранный пользователем номер принадлежит службе поддержки банка, малварь автоматически заблокирует такой звонок. Эксперты Symantec пишут, что в «черных списках» Fakebank значатся номера следующих банков:
- KB Bank: 15999999
- KEB Hana Bank: 15991111
- NH Bank: 15442100 and 15882100
- Sberbank: 80055550
- SC Bank: 15881599 и 15889999
- Shinhan Bank: 15448000, 15778000 и 15998000
Жертве придется потратить дополнительное время: придется связываться с банком по email или звонить с другого номера. Так как многие банки допускают привязку конкретного номера телефона абонента к счету, все это создаст дополнительные проблемы пользователю. В итоге жертва будет вынуждена пройти более длительную процедуру аутентификации, что даст злоумышленникам дополнительное время для хищения средств.
Стоит отметить, что это не первый случай, когда банковские трояны проявляют изрядное коварство. К примеру, обнаруженный специалистами все той же компании Symantec вредонос Android.Bankosy способен обходить двухфакторную аутентификацию банков, в том числе и такие системы, которые сообщают одноразовые коды голосом.