Microsoft предупредила об Android-шпионе, ворующем 2FA-коды

Microsoft рассказала об опасной шпионской программе, атакующей пользователей мобильных устройств на Android. По словам специалистов, авторы вредоноса замаскировали его под софт для вознаграждения по кредитным картам.

Судя по всему, Microsoft описывает новую версию зловреда, о котором эксперты Cyble предупреждали в конце 2021 года. Шпионский софт позволяет операторам удалённо управлять им.

Последний релиз вредоносной программы получил новые функциональные возможности бэкдора и гораздо более продуманную обфускацию. Попав на устройство жертвы, шпион может перехватывать коды двухфакторной аутентификации (2FA) для входа в аккаунты банковских приложений.

Кроме того, вредонос ворует учётные данные и ту персональную информацию, до которой может добраться. Microsoft детектирует шпиона как TrojanSpy:AndroidOS/Banker.O.

Стоит обратить внимание, что при запуске зловред запрашивает определённые разрешения в системе, без которых он не сможет в полной мере использовать свою функциональность. Более того, шпион просит пользователя ввести данные своей банковской карты, что должно сразу насторожить более-менее адекватного владельца Android-устройства.

«Вредоносные APK трояна содержат официальный логотип одного из банков, чтобы наверняка ввести пользователей в заблуждение. Это говорит о том, что авторы вредоноса постоянно совершенствуют своё детище», — пишет корпорация из Редмонда.

Шпионский софт использует функции Android — MainActivity, AutoStartService и RestartBroadCastReceiverAndroid, — чтобы иметь возможность перехватывать звонки, извлекать историю вызовов, сообщения, контакты, информацию о сети, а также менять настройки Android-девайса.

Библиотека с открытым исходным кодом socket.io используется авторами вредоноса для взаимодействия с командным сервером.