Как утверждают эксперты Avast, в рамках новой банковской троянской программы для устройств на базе Android используется тактика социальной инженерии, благодаря чему злоумышленники могут обманывать жертву и скрывать свою активность на инфицированном мобильном устройстве.
Название приложения на иконке может быть различным, в том числе AVITO-MMS, KupiVip и MMS Центр. Но после того, как программа будет впервые запущена, иконка становится скрытой.
Троянская программа производит обычную проверку эмулятора. В том случае, если в ходе проверки работа приложения в эмуляторе не будет отображена, то произойдет запуск фонового таймера, который будет непрерывно открывать диалоговые окна активации административного доступа к устройству до тех пор, пока соответствующие права не будут предоставлены. После получения прав администратора аналогичный процесс запускается вновь: теперь программа с помощью диалоговых окон пытается вынудить пользователя установить диспетчер SMS, который будет функционировать по умолчанию.
Вредоносная программа пересылает на C&C-сервер, контролируемый киберпреступниками, перехваченные SMS-сообщения и данные об устройстве, включая его серийный номер, уникальный идентификатор и координаты GPS, код государства, наименование мобильного оператора, версию операционной системы, телефонный номер, серийный номер SIM-карты, текущий номер версии троянской программы. В ответ операторы дают программе новые команды. Кроме того, троянская программа информирует злоумышленников о наличии административного доступа к устройству и переводе диспетчера SMS в статус приложения, функционирующего по умолчанию. Права администратора позволяют злоумышленникам осуществить дистанционную блокировку инфицированного устройства.
Для получения информации кредитных карт жертвы троянская программа демонстрирует на устройстве фальшивое окно Google Play.
Вредоносная программа имеет поддержку команд для загрузки APK, дает возможность осуществлять блокировку экрана и переадресацию вызовов. Антивирусные решения компании Avast идентифицируют троянскую программу как Android: Banker-IR. Для того, чтобы избавиться от вредоносного ПО, пользователь должен произвести сброс настроек устройства до заводских.
