Аналитики «Лаборатории Касперского» сообщают, что Android-банкер Faketoken сменил тактику.
Faketoken известен специалистам давно: еще в 2014 году он выбился в двадцатку самых распространенных мобильных угроз, и тогда работал в паре с десктопными банкерами: «старший товарищ» взламывал аккаунт жертвы и выводил деньги, а Faketoken перехватывал SMS-сообщения с одноразовыми паролями для подтверждения этих транзакций.
К 2016 году троян принялся красть деньги самостоятельно: научился перекрывать другие приложения фейковыми окнами и заставлять пользователя вводить в них логины, пароли и данные банковских карт. В дополнение к этому он освоил работу вымогателя: стал блокировать экран зараженного устройства и заодно шифровать файлы на нем.
К 2017 году Faketoken изучил целую кучу приложений, которыми можно прикидываться, чтобы красть данные карт, — программы для мобильного банкинга, электронные кошельки вроде Google Pay и даже службы заказа такси и приложения для оплаты штрафов.
Теперь же специалисты обнаружили пять тысяч смартфонов, с которых Faketoken шлет кому-то SMS-сообщения с оскорблениями. В целом умение отправлять сообщения для мобильной малвари вещь обычная: многие угрозы распространяются, рассылая ссылки на скачивание себя всем контактам жертвы. Кроме того, банковские трояны часто стараются стать приложением для работы с SMS по умолчанию — чтобы перехватывать сообщения с кодами подтверждений. Однако раньше эксперты не видели, чтобы малварь, нацеленная на чужие банковские счета, внезапно превращалась в инструмент для личных разборок.
Аналитики признаются, что не знают, насолила ли жертва рассылки самим авторам Faketoken, или они сдают свой ботнет в аренду любому желающему, и подобные акции могут стать массовыми.
Все сообщения Faketoken рассылает за счет владельцев зараженных устройств. Причем подходит к вопросу основательно: прежде чем что-то отправить, проверяет, достаточно ли средств на банковской карте жертвы. Убедившись, что баланс положительный, он пополняет с этой карты мобильный счет и только после этого приступает к рассылке.
Для многих владельцев зараженных телефонов номер, на который обрушился гнев малвари, — зарубежный. Учитывая, что одним SMS-сообщением от каждой жертвы Faketoken не ограничивается, сумма, которой в итоге недосчитаются пользователи, может оказаться заметной.