Мобильные платформыНовости

Банковский троян FakeBank переадресует мошенникам пользовательские звонки в банк

Впервые банковский троян Fakebank был обнаружен еще в 2013 году. Тогда ИБ-специалисты писали, что малварь маскируется под легитимное приложение Android, тогда как на самом деле, регистрирует себя как системный сервис, запрашивает с сервера злоумышленников файл конфигурации и устанавливает на устройство вредоносное APK.

После этого новые версии Fakebank появлялись неоднократно. К примеру, в середине 2016 года специалисты компании Symantec предупредили, что обновренный Fakebank не дает своим жертвам связаться со службой поддержки некоторых российских и южнокорейских банков, тем самым мешая пострадавшему заблокировать скомпрометированную карту. А в конце 2016 года экспертами Trend Micro была найдена еще одна версия трояна, использовавшая TeamViewer QuickSupport для компрометации устройства жертвы.

Банковский троян FakeBank переадресует мошенникам пользовательские звонки в банк
UI банкера поверх легитимного приложения

Еще одну обновленную версию банкера на прошлой неделе обнаружили аналитики компании Symantec. В настоящее время FakeBank действует так же, как и большинство образцов банковской малвари: отображает поверх легитимного приложения банка фальшивый экран авторизации, похищая учетные данные своих жертв. Однако новая версия FakeBank умеет не просто блокировать телефонные звонки в банки, мешая пользователю связаться с поддержкой, как это было раньше. Теперь звонок не «сбрасывается», а переадресовывается самим злоумышленникам.

Банковский троян FakeBank переадресует мошенникам пользовательские звонки в банк
Подмена номеров в коде малвари (номера изменены)

Номера, на которые малварь незаметно переключает пользователей, хранятся в ее файле конфигурации. Хуже того, злоумышленники могут и сами позвонить жертве, выдав себя за представителей банка. Для этого в настройках банкера тоже есть соответствующие опции, гарантирующие, что на телефоне пострадавшего номер преступников определится как номер телефона банка. Дальше, как не трудно представить, в ход идет социальная инженерия. В ходе беседы с такими «сотрудниками технической поддержки» ничего не подозревающий пользователь может предоставить практически любую конфиденциальную информацию о себе.

Эксперты Symantec пишут, что пока новая вариация банковского трояна активна только в Южной Корее, где распространяется через сторонние магазины приложений и социальные сети. Исследователи обнаружили уже 22 приложения, зараженные этой версией FakeBank.