Эксперты «Лаборатории Касперского» выявили новую программу Trojan-Banker.AndroidOS.Faketoken, которая способна шифровать файлы, хранящиеся на смартфоне.
Всего специалистами было выявлено несколько тысяч установочных пакетов Faketoken, которые могут шифровать файлы. Самый ранний пакет датируется июлем этого года. Банковская троянская программа способна атаковать более 2000 финансовых приложений. В настоящее время от активности Faketoken пострадало около 16000 пользователей в 27 странах, в том числе в Германии, России и Украине.
Хакеры занимаются распространением вредоносной программы, замаскированной под различные сервисы, игровые приложения и Adobe Flash Player. Faketoken может вступать во взаимодействие с защитными механизмами, которые реализованы в операционной системе. Вредоносная программа может отправлять запросы на отображение других программ поверх окон или получение статуса приложения по умолчанию для работы с SMS.
После установки на системе и получения всех необходимых прав Faketoken начинает похищать данные. Вредоносная программа осуществляет загрузку с командного сервера базы данных с фразами на различных языках для 77 локализаций мобильных устройств. С их помощью троянская программа демонстрирует фишинговые уведомления на экране устройства. Файлы, хранящиеся на устройстве, шифруются с помощью алгоритма AES. К зашифрованным файлам добавляется расширение .cat.
