Специалисты из Symantec сообщили о возросшей активности Bankosy – вредоносной программы для Android, способной похищать коды двухфакторной аутентификации.
Вредоносная программа осуществляет перехват одноразовых паролей, необходимых для успешного прохождения процесса двухфакторной аутентификации в банковских приложениях. Такие коды обычно пересылаются клиенту SMS-сообщением или с помощью звонка по телефону. Банк осуществляет звонок на телефонный номер клиента, успешная аутентификация происходит, если адресат поднял трубку. В большинстве своем банковские троянские программы не способны осуществлять перехват подобных звонков, однако Bankosy стала исключением.
Для переадресации звонков некоторыми сотовыми операторами используется USSD-запрос *21*номер телефона#. Особенно часто такая практика применяется в странах Юго-Восточной Азии. Авторы Bankosy добавили в троянскую программу поддержку данного USSD-кода, что позволяет успешно осуществлять перехват автоматических телефонных звонков.
Помимо этого, вредоносное программное обеспечение может, не вызывая у владельца устройства подозрений, активировать блокировку экрана и отключать звук. Такой функционал используется, чтобы жертва не узнала о звонке с банковского номера.
Чтобы успешно пройти аутентификацию, злоумышленники также должны знать логин и пароль пользователя. Вредоносная программа может демонстрировать на зараженном устройстве поддельные окна и формы аутентификации, которые имитируют интерфейс настоящих банковских приложений.
