«Корпорация Касперского» нашла небезопасную версию банковского зловреда Trojan-Banker.AndroidOS.Faketoken, способная зашифровывать пользовательские данные.

Вредная платформа идет маскируясь под разных дополнений и игр для ОС Андроид. после старта вирус заламывает права администратора устройства. Если клиент не сходится, Faketoken постоянно перезапускает окно с аналогичным условием, почти не оставляя шансов отказаться.

Вирус маскируясь под дополнения «Yandex.Наводчик» заламывает права администратора устройства

Получив права администратора, зловред начинает требовать нужные ему разрешения: на доступ к СМС, файлам и контактам, на отправку СМС и свершение звонков. Также, Faketoken старается сделать себя программой для работы с СМС изначально.

Дальше вирус грузит с компьютера информационную базу, имеющую фразы на десятках различных языков. Применяя данную основу, Faketoken показывает жертве разные фишинговые известия в целях кражи учётной информации Gmail и данных карт.

Также, от правящего компьютера вирус может получить перечень атакуемых дополнений и страницу-шаблон, на базе которой создаются фишинговые страницы для иных программ.

В конце концов, Faketoken может вытягивать денежные средства, закрывая дисплей зараженного устройства, и шифруя документы клиента. Для кодировки применяется инвариантный метод AES. Среди шифруемых данных есть как медиафайлы (иллюстрации, музыка, видео), так и бумаги.

Потерпевшими зловреда стали не менее 16 000 человек в 27 государствах, преимущественно это клиенты из РФ, Украины, Германии и Таиланда.