експерти ESET виявили мобільного шкідливий Android / Spy.Agent.SI, який викрадає облікові дані банківських аккаунтів і акаунтів Google. Малваре при цьому видає себе за Flash Player для Android, розробка якого була припинена ще в 2012 році.
компанія Adobe відмовилася від розробки Flash Player ще в середині 2012 року. Тоді компанія повідомила, що остання випущена версія не буде підтримувати Android вище 4.0.x, і взагалі порекомендувала користувачам більш свіжих версій ОС видалити Flash Player зі своїх пристроїв, так як додаток буде працювати нестабільно. Але, очевидно, про це знають далеко не всі.
Android / Spy.Agent.SI рекламується і поширюється під виглядом Flash Player для Android, щоб обманом змусити користувача встановити на пристрій небезпечний APK. Після завантаження додаток запитує привілеї адміністратора, отримання яких ускладнить згодом процес видалення малварі, а також гарантує їй успішність атаки.
Після установки шкідливий поводиться так само, як і більшість банківських троянів в наші дні - збирає вичерпну інформацію про зараженому пристрої і відправляє її на командний сервер. При цьому малваре використовує обфускація і шифрування.
Підроблені форми авторизації
У відповідь оператори віддають шкідливий команду, вказуючи, в які саме додатки він повинен впровадити фальшиві сторінки логіна. Підроблена форма введення даних розміщується поверх вікна цього додатка, викрадає облікові дані, введені користувачем, і відсилає їх на керуючий сервер. На той випадок, якщо користувач використовує двухфакторную аутентифікацію, малваре може перехоплювати SMS-повідомлення. Особливо «приємно», що передачу вкрадених даних троян не шифрується, тому інформація передається у вигляді відкритого тексту.
Фахівці ESET пишуть, що на даний момент Android / Spy.Agent.SI переважно атакує додатки банків Австралії, Новій Зеландії та Туреччини.
На сайті компанії опублікована докладна інструкція з видалення трояна, а також список сайтів, які поширюють цей «Adobe Flash» для Android.
Фото: Britta Pedersen / DPA