Банкер Tordow был детально описан в сентябре 2016 года специалистами «Лаборатории Касперского». Впервые Banker.AndroidOS.Tordow.a (далее Tordow) обнаружили в феврале 2016 года. От большинства других мобильных банкеров он отличается тем, что стремится получить root-привилегии в системе, хотя деньги можно похитить и без этого.
Root-права предоставляют малвари новые векторы атак и уникальные возможности. Например, Tordow устанавливает один из скачанных модулей в системную папку, что делает его трудноудаляемым. А при помощи прав суперпользователя операторы малвари похищают базы данных дефолтного браузера Android и браузера Google Chrome, если он установлен. Такие БД содержат информацию о сохраненных логинах и паролях, историю посещений, файлы cookie и иногда даже сохраненные данные банковских карт.
Теперь, спустя несколько месяцев, специалисты компании Comodo обнаружили обновленную версию малвари, которую называют Tordow v2.0. Вредонос сохранил все возможности, которыми обладал ранее, но также добавил в свой арсенал несколько новых трюков. Теперь Tordow проверяет наличие root-прав девятью разными способами, способен похищать учетные данные, может манипулировать банковской информацией и посещаемыми веб-страницами, а также способен действовать как классический вымогатель: шифровать файлы и удалять с устройства антивирусное ПО.
Понять, что Tordow теперь работает и как шифровальщик, специалисты смогли по функциям класса CryptoUtil. Троян способен шифровать файлы с использованием алгоритма AES, но аналитики отмечают, что пока в коде вредоноса содержится жестко закодированный ключ «MIIxxxxCgAwIB», который и используется в процессе.
Tordow v2.0 распространяется в основном через сторонние сайты, маскируясь под популярные приложения, такие как «ВКонтакте» , Pokemon Go, Telegram и Subway Surfer. При этом вредоносные приложения, как правило, действительно обладают функциональностью своих легитимных прообразов.
Специалисты Comodo пишут, что больше всего от банковского трояна страдают российские пользователи, однако операторы малвари не ограничиваются одной только Россией, и Tordow v2.0 представляет опасность для пользователей по всему миру.