Існуюча база шкідливих мобільних додатків для Android була поповнена новим трояном Android / Banker. GT!tr. spy, який призначений для крадіжки фінансової інформації Користувачів. Компанія Fortinet попереджає, що даний троян блокує антивіруси, завдяки чому виявити його досить проблематично.
Спочатку Android / Banker. GT!tr. spy встановлюється на мобільний пристрій під виглядом email-додатки, але як тільки отримує права адміністратора, з панелі запуску зникає "Поштова" іконка, а сам троян продовжує функціонувати приховано у фоновому режимі. При цьому йому потрібні такі дозволи: моніторинг стану пристрою, читання контактів, можливість здійснення дзвінків на різні номери, зміна налаштувань , управління SMS-повідомленнями. Далі вірус запускає наступні 3 служби: GPService2, FDService і AdminRightsService.
GPService2 призначається для моніторингу всіх запущених процесів і для атаки банківських додатків, а саме для виведення підроблених сторінок, що з'являються над оригінальними для крадіжки облікових даних. В Android / Banker. GT! tr.spy вже передбачена своя база шаблонів банківських додатків. Плюс до всього, GPService2 зв'язується з керуючим сервером для отримання різних пейлоадов для додатків різних банків.
Служба FDService націлена на атаку окремих додатків, а саме соціальні мережі. Експерти кажуть, що цей сервіс може відображати підроблений екран Google Play.
Третя служба AdminRightsService призначена для запитування привілеїв адміністратора, під час першого запуску на устройтве.
Для того, що позбутися від Android / Banker.GT!tr. spy потрібно спочатку відкликати права адміністратора: Налаштування → Безпека → Адміністратори пристрою→ пристрої → деактивувати.
А після скористатися Android Debug Bridge і командою adb uninstall [packagename].