Новая банковская троянская программа для Android, нацеленная на любителей взломанных игр, обнаружена исследователями «Доктор Веб». Вредоносная программа Android.BankBot.104.origin имитирует программное обеспечение для взлома популярных игровых приложений.
Разработчики троянской программы помещают ее на мошеннические веб-сайты, которые предлагают сведения о 1000 популярных игровых приложений. На подобных ресурсах имеется цифровая подпись, что позволяет притуплять бдительность большей части посетителей. Если пользователь попытается скачать с сайта какое-либо приложение, то произойдет переадресация на мошенническую веб-страницу, осуществляющую распространение Android.BankBot.104.origin, замаскированной под взломанное программное обеспечение.
После установки троянская программа отображается в системе в виде приложения под названием НАСК. При запуске Android.BankBot.104.origin пытается заполучить доступ с правами администратора. Далее вредоносная программа удаляет из списка приложений свою иконку.
Затем Android.BankBot.104.origin проверяет систему на предмет наличия подключенной услуги мобильного банкинга и связи с какими-либо банковскими счетами. Для этого троянская программа передает банковским системам SMS-сообщения со специальными командами. Если будут обнаружены денежные средства, то вредоносная программа попытается скрытно перевести их на счета, подконтрольные преступникам.
Если C&C-сервер отдаст соответствующие команды, то банковская троянская программа может осуществлять переадресацию вызовов на определенный номер, перехват и скрытие входящих SMS-сообщений и отправлять USSD-запросы.