Банковская троянская программа для Android, обладающая необычным функционалом для данного типа ПО, была обнаружена экспертами «Лаборатории Касперского». Первый вариант вредоносной программы Trojan-Banker.AndroidOS.Tordow.a был выявлен в феврале этого года. С того момента программа существенно усовершенствовалась и получила функционал, который позволяет ее операторам проводить новые разновидности кибератак.
Распространение троянской программы Tordow осуществляется в составе программ, которые замаскированы под приложения Pokemon Go, Subway Surf, Telegram, «ВКонтакте», «ДругВокруг» и «Одноклассники». Как утверждают исследователи, киберпреступники производят загрузку легитимных приложений из Google Play и внедрение нового кода и файлов.
После того, как пользователь загрузил вредоносное приложение, код осуществляет расшифровку и запуск файла, внедренного злоумышленника. На втором этапе файл выходит на связь с командным сервером и производит загрузку основного модуля троянской программы, содержащего ссылки для скачивания ряда дополнительных компонентов, включая эксплоит для получения суперпользовательских прав и новых разновидностей вредоносного программного обеспечения. Число ссылок зависит от целей, которые ставят перед собой злоумышленники. Также каждый файл может осуществлять загрузку с сервера, расшифровку и запуск новых модулей. В результате киберпреступники получают функционал, который позволяет дистанционно захватывать контроль над устройством и похищать денежные средства.
Вредоносная программа может осуществлять перехват, отправку и удаление SMS-сообщений; запись, переадресацию и блокировку звонков; проверку баланса на счете; смену командного сервера; загрузку и запуск файлов; установку и удаление приложений; показ веб-страниц, заданных хакерами; генерацию и отправку на управляющий сервер списка файлов, содержащихся на устройстве; перезагрузку смартфона.
Кроме вредоносных модулей, Tordow производит загрузку набора эксплоитов для того, чтобы повышать привилегии на системе и получать суперпользовательские права. Затем вредоносная программа похищает базу данных браузера, который по умолчанию установлен в Android, а также Chrome при его наличии. В базе содержатся все логины и пароли, которые сохранены в браузере пользователем, история посещений, файлы cookies и финансовая информация. В результате у злоумышленников есть возможность заполучить доступ к нескольким аккаунтам пользователя на разных сайтах.
Имея суперпользовательские права, вредоносная программа может украсть из системы почти любые данные: фотографии, документы и файлы, содержащие финансовую информацию.