Аналитики компании «Доктор Веб» изучили банковский троян Flexnet, представляющий угрозу для пользователей Android.
В настоящее время злоумышленники распространяют банкера при помощи SMS-спама.Троянец маскируется под приложения «Друг вокруг», GTA V, инструменты для раскрутки аккаунтов в Instagram и «ВКонтакте», а также другое ПО.
По сравнению с другими современными Android-банкерами возможности Flexnet весьма ограничены. Троян способен только перехватывать и отправлять SMS-сообщения, а также выполнять USSD-запросы. Впрочем и этих функций оказывается вполне достаточно для кражи средств пользователей.
Например, злоумышленники пополняют внутриигровые счета в популярных играх через SMS. Эта схема работает следующим образом. Сначала троян проверяет баланс банковской карты пользователя, отправляя SMS-запрос в систему обслуживания мобильного банкинга. Затем он перехватывает ответное сообщение с информацией об остатке на счете и передает эти сведения своим операторам. Далее они формируют запрос на пополнение баланса интересующей их игры. В запросе указывается номер телефона жертвы и сумма для перевода. После этого пользователю приходит SMS с проверочным кодом. Flexnet перехватывает это сообщение, передает его содержимое мошенникам, а те отдают банкеру команду на отправку SMS с полученным кодом для подтверждения операции.
Аналогичным образом реализуются и другие мошеннические схемы. Так, злоумышленники могут оплачивать услуги хостинг-провайдеров, используя деньги с баланса мобильных номеров своих жертв, для этого троян отправляет SMS с необходимыми параметрами на специализированные номера. При этом до определенного времени владельцы зараженных устройств не подозревают о пропаже денег, поскольку банкер скрывает от них все подозрительные сообщения.
Также троян способен переводить деньги с банковских карт жертв на счета своих операторов. Еще одна функция Flexnet — похищение конфиденциальных данных. Злоумышленники могут получать доступ к аккаунтам пользователей социальных сетей, интернет-магазинов, личным кабинетам на сайтах и другим онлайн-сервисам.
Сообщается, что при содействии регистратора REG.ru были блокированы несколько управляющих серверов Flexnet, и часть зараженных устройств злоумышленники больше не контролируют.
Источник