В России распространяется вирус для Android со значком Центробанка
Изображение: Pexels (pixabay)
На территории России зафиксировано распространение многофункционального трояна Android.Backdoor.916.origin, представляющего серьёзную угрозу для пользователей Android-устройств, прежде всего — представителей бизнеса. Об этом сообщили специалисты компании «Доктор Веб».
По их данным, вредонос используется в точечных атаках и распространяется через личные сообщения в мессенджерах. Злоумышленники рассылают APK-файл, маскируя его под антивирусное приложение под названием «GuardCB» со значком, визуально напоминающим эмблему Банка России на фоне щита. Также встречаются версии с названиями «SECURITY_FSB» или «ФСБ» — это должно вызывать доверие у пользователя.
На деле приложение не обладает никакими защитными функциями. Его интерфейс полностью русифицирован и имитирует антивирусную проверку, якобы находя от одной до трёх угроз, которых на самом деле не существует. Причём «угрозы» проявляются с определённой регулярностью после последнего псевдосканирования, но не превышают 30% вероятности.
После установки вредонос запрашивает максимальные привилегии: доступ к геолокации, камере, микрофону, сообщениям, контактам, звонкам, медиаконтенту и административным функциям устройства. Он также требует разрешения на использование Accessibility Service — сервиса специальных возможностей Android.
Как уточнили аналитики, именно через этот сервис вирус активирует кейлоггер, перехватывающий вводимые тексты, включая пароли и сообщения из приложений Telegram, WhatsApp, Gmail, Google Chrome, Яндекс Браузер и Яндекс Старт. Также троян умеет вести трансляцию с камеры, записывать звук, копировать содержимое экрана и передавать всё это на удалённый сервер.
В дополнение, вредонос может выполнять команды через оболочку, собирать данные о сетевых подключениях, выгружать файлы с карты памяти и активировать защитные механизмы от удаления. Установлена возможность связи с множеством управляющих серверов — до 15 одновременно — с переключением между хостинг-провайдерами. Хотя эта функция ещё не активирована, конфигурация программы уже поддерживает её реализацию.
