Новый Android-троян маскируется под Google Wallet

«Лаборатория Касперского» предупреждает о появлении новой вредоносной программы, представляющей угрозу для владельцев мобильных устройств под управлением операционной системы Android.

Зловред (Trojan-SMS.AndroidOS.FakeInst.ep) хитроумно маскируется одновременно и под официальный магазин приложений Google Play, и под приложение платёжной системы Google Wallet, настойчиво вымогая у пользователя реквизиты его банковской карты. Подавляющее большинство попыток заражения зарегистрировано в России, следом с большим отрывом идут США, а затем страны Европы и Азии.

Внешний вид трояна

Троян распространяется посредством SMS-спама: сообщения содержат предложение установить обновление для магазина приложений Google Play и ссылку для скачивания APK-файла. После установки зловред появляется в списке приложений под именем Play Market.

Сразу после запуска вредоносная программа запрашивает права администратора, блокируя возможность работы с устройством до их получения. Добившись своего, вредоносная программа отображает окно со следующим сообщением: «В связи с изменениями в текущем законодательстве США "О защите персональной информации" и "О борьбе с киберпреступностью", а также для идентификации пользователей ОС Android, все пользователи должны пройти процедуру открытия Google Wallet и последующую персонификацию посредством ввода своих банковских реквизитов. Данная процедура ОБЯЗАТЕЛЬНА для прохождения. До окончания процесса ваш телефон будет заблокирован. В течение 24 часов после прохождения идентификации с вашей банковской карты будет списана случайная сумма от 0,01$ до 1,00$. Убедитесь, что данная сумма есть на вашей карте. Это необходимо для авторизации вашей банковской карты в Google Wallet».

Географическое распределение атакованных пользователей

После того как пользователь нажатием на кнопку с текстом «Я согласен на передачу своих персональных данных в компанию Google» подтвердит, что он ознакомился с этой информацией, троян показывает другое окно, в котором предлагает жертве ввести номер банковской карты, указать срок её действия и другие персональные данные.

Оба окна показываются поверх всех остальных, в том числе поверх экрана блокировки. Убрать их фактически невозможно: закрытое окно немедленно открывается вновь. Более того, введённая пользователем информация о карте проверяется на соответствие формату BIN (Bank Identification Number) и на принадлежность к довольно большому списку платёжных систем. Только получив корректные данные, троян закрывает окна и отсылает собранные сведения на сервер злоумышленников. Таким образом, пользователи рискуют расстаться со своими деньгами. 

Хочешь узнать больше - читай отзывы

3dnews