Эксперты компании BI.ZONE зафиксировали всплеск активности трояна Faketoken. Малварь похищает деньги у пользователей Android-устройств, маскируясь под приложение популярной торговой площадки.
Исследователи рассказывают, что Faketoken образца 2020 года способен перехватывать SMS на устройстве, передавать сообщения на сервер преступников, а также отображать фишинговые окна поверх легитимных приложений (для сбора данных банковских карт). Отличительной особенностью последней версии трояна стала способность препятствовать удалению малвари с устройства с использованием антивирусных программ. Впрочем, эксперты отмечают, что удалить Faketoken все же возможно — для этого необходимо перевести ОС в безопасный режим.
Специалисты BI.ZONE связывают нынешнюю активность трояна с массовым переходом россиян на удаленную работу из-за пандемии коронавируса. Люди сидят дома, растет популярность онлайн-торговли, а злоумышленники не упускают шанс и пользуются этим.
В настоящее время в ботнет Faketoken входит более 10 000 зараженных устройств. Для распространения вредоносного ПО злоумышленники ежедневно регистрируют до семи новых фишинговых доменов.
Эксперты пишут, что большинство заражений происходит по стандартной схеме. Пользователь размещает объявление на торговой площадке и получает SMS или сообщение в мессенджере со ссылкой на фишинговую страницу. Он переходит по ссылке и скачивает установочный .apk файл, который внешне неотличим от настоящего приложения данной онлайн-площадки.
После запуска .apk и предоставления прав вредоносному приложению, злоумышленники получают возможность управлять зараженным устройством. Далее, когда жертва заходит в целевое легитимное приложение (например, мобильный банк или сервис такси), троян под вымышленным предлогом запрашивает ввод данных банковской карты и перехватывает SMS-коды от банка. С помощью этой информации преступники похищают денежные средства пользователя.
«Faketoken очень быстро распространяется — ежедневно троян заражает более 2000 устройств. Чтобы не стать жертвой преступников, мы рекомендуем не переходить по ссылкам из подозрительных источников, устанавливать приложения только из официальных магазинов и не отключать защитный сервис Google Play Protect. Использование антивируса и своевременное обновление антивирусных баз также поможет снизить риск заражения», — прокомментировал Евгений Волошин, директор по безопасности компании BI.ZONE.
Напомню, что впервые троян Faketoken был замечен еще в 2012 году. Но если у первой версии трояна единственной функциональностью был перехват SMS-паролей от онлайн-банков, то за прошедшие восемь лет эволюции возможностей у него прибавилось.
Так, в 2014 году он выбился в двадцатку самых распространенных мобильных угроз, и тогда работал в паре с десктопными банкерами: «старший товарищ» взламывал аккаунт жертвы и выводил деньги, а Faketoken перехватывал SMS-сообщения с одноразовыми паролями для подтверждения этих транзакций.
К 2016 году троян принялся красть деньги самостоятельно: научился перекрывать другие приложения фейковыми окнами и заставлять пользователя вводить в них логины, пароли и данные банковских карт. В дополнение к этому он освоил работу вымогателя: стал блокировать экран зараженного устройства и заодно шифровать файлы на нем.
К 2017 году Faketoken изучил целую кучу приложений, которыми можно прикидываться, чтобы красть данные карт, — программы для мобильного банкинга, электронные кошельки вроде Google Pay и даже службы заказа такси и приложения для оплаты штрафов.
В начале 2020 года аналитики заметили, что Faketoken теперь не только ворует данные о чужих финансах, но и рассылает с зараженных устройств SMS-сообщения с оскорблениями.