Впервые банковский троян Fakebank был обнаружен еще в 2013 году. Тогда ИБ-специалисты писали, что малварь маскируется под легитимное приложение Android, тогда как на самом деле, регистрирует себя как системный сервис, запрашивает с сервера злоумышленников файл конфигурации и устанавливает на устройство вредоносное APK.

После этого новые версии Fakebank появлялись неоднократно. К примеру, в середине 2016 года специалисты компании Symantec предупредили, что обновленный Fakebank не дает своим жертвам связаться со службой поддержки некоторых российских и южнокорейских банков, тем самым мешая пострадавшему заблокировать скомпрометированную карту. А в конце 2016 года экспертами Trend Micro была найдена еще одна версия трояна, использовавшая TeamViewer QuickSupport для компрометации устройства жертвы.

UI банкера поверх легитимного приложения

Еще одну обновленную версию банкера на прошлой неделе обнаружили аналитики компании Symantec. В настоящее время FakeBank действует так же, как и большинство образцов банковской малвари: отображает поверх легитимного приложения банка фальшивый экран авторизации, похищая учетные данные своих жертв. Однако новая версия FakeBank умеет не просто блокировать телефонные звонки в банки, мешая пользователю связаться с поддержкой, как это было раньше. Теперь звонок не «сбрасывается», а переадресовывается самим злоумышленникам.

Подмена номеров в коде малвари (номера изменены)

Номера, на которые малварь незаметно переключает пользователей, хранятся в ее файле конфигурации. Хуже того, злоумышленники могут и сами позвонить жертве, выдав себя за представителей банка. Для этого в настройках банкера тоже есть соответствующие опции, гарантирующие, что на телефоне пострадавшего номер преступников определится как номер телефона банка. Дальше, как не трудно представить, в ход идет социальная инженерия. В ходе беседы с такими «сотрудниками технической поддержки» ничего не подозревающий пользователь может предоставить практически любую конфиденциальную информацию о себе.

Эксперты Symantec пишут, что пока новая вариация банковского трояна активна только в Южной Корее, где распространяется через сторонние магазины приложений и социальные сети. Исследователи обнаружили уже 22 приложения, зараженные этой версией FakeBank.

Оставить мнение