Вредоносная программа Fanta SDK, маскирующаяся под Android-приложение «Сбербанк Онлайн», была обнаружена исследователями TrendMicro.
Главная отличительная черта поддельной программы – способность изменять пароль на устройстве, если пользователь попытается удалить приложение или лишить его прав администратора. Fanta SDK функционирует на всех версиях Android. Распространение программы осуществляется с помощью вредоносных ссылок и сторонних магазинов приложений.
Активация приложения, проникшего в систему, происходит лишь при наличии установленной на мобильном устройстве настоящей программы «Сбербанк Онлайн». После Fanta SDK делает запрос на доступ с правами администратора. По словам исследователей, большая часть легитимных программ не запрашивает права администратора.
При получении разрешения вредоносная программа отображает на экране стартовую страницу с логотипом Сбербанка и формой для ввода учетной информации, которая передается на C&C-сервер, находящийся под контролем злоумышленников. Киберпреступники пользуются этими данными для того, чтобы незаметно похищать со счетов жертвы денежные средства.
Пользователь может попытаться лишить вредоносную программу прав администратора и удалить ее. В этом случае Fanta SDK изменит пароль для входа систему. В итоге пользователь лишится возможности пользоваться собственным мобильным устройством.
Кроме того, во время запуска легитимного приложения, загруженного из Google Play Store, вредоносная программа закрывает онлайн-каталог, демонстрируя на экране поддельную веб-страницу с рекламным баннером, который извещает пользователя о том, что он якобы выиграл iPhone 6. Чтобы получить приз, пользователь должен ввести в специальную форму номер своей кредитной карты и пароль.
Специалисты Сбербанка были проинформированы о проблеме экспертами TrendMicro.
