Новый банковский троянец на Android

Существующая база вредоносных мобильных приложений для Android была пополнена новым трояном Android/Banker.GT!tr.spy, который предназначен для кражи финансовой информации пользователей. Компания Fortinet предупреждает, что данный троян блокирует антивирусы, благодаря чему обнаружить его довольно проблематично.

Изначально Android/Banker.GT!tr.spy устанавливается на мобильное устройство под видом email-приложения, но как только получает права администратора, с панели запуска исчезает “почтовая” иконка, а сам троян продолжает функционировать скрытно в фоновом режиме. При этом ему требуются такие разрешения: мониторинг состояния устройства, чтение контактов, возможность осуществления звонков на различные номера, изменение настроек , управление SMS-сообщениями. Далее вирус запускает следующие 3 службы: GPService2, FDService и AdminRightsService.

GPService2 предназначается для мониторинга всех запущенных процессов и для атаки банковских приложений, а именно для вывода поддельных страниц, появляющихся над оригинальными для кражи учетных данных. В Android/Banker.GT!tr.spy уже предусмотрена своя база шаблонов банковских приложений. Плюс ко всему, GPService2 связывается с управляющим сервером для получения разных пейлоадов для приложений разных банков.

Служба FDService нацелена на атаку отдельных приложений, а именно социальные сети. Эксперты говорят, что этот сервис может отображать поддельный экран Google Play.

Третья служба AdminRightsService предназначена для запрашивания привелегий администратора, во время первого запуска на устройтве.

Для того, что избавиться от Android/Banker.GT!tr.spy нужно сначала отозвать права администратора: Настройки → Безопасность → Администраторы устройства→ устройства → Деактивировать.
А после воспользоваться Android Debug Bridge и командой adb uninstall [packagename].