Covid-19 разбудил Faketoken — троян похищает деньги

Эксперты компании по безопасности BI.ZONE зафиксировали в российском сегменте интернета всплеск активности вредоносного программного обеспечения Faketoken.

«Троянская программа Trojan-Banker.AndroidOS.Faketoken похищает деньги у пользователей мобильных устройств на базе ОС Android, маскируясь под приложение популярной торговой онлайн-площадки», — сообщает пресс-служба компании.

Faketoken появился в 2012 году. Но если у первой версии трояна единственной функциональностью был перехват СМС-паролей от онлайн-банков, то за восемь лет эволюции вредоносного программного обеспечения у него стало больше возможностей.

«Faketoken образца 2020 года способен перехватывать СМС на устройстве, передавать сообщения на сервер преступников, а также отображать фишинговые окна для сбора данных банковских карт поверх легитимных приложений. Отличительной особенностью последней версии трояна стала способность препятствовать удалению ВПО с устройства с использованием антивирусных программ», — отмечают в компании.

Однако удалить Faketoken все же можно — для этого необходимо перевести ОС в безопасный режим.

Специалисты BI.ZONE связывают новое появление трояна с массовым переходом россиян на удаленную работу. Люди сидят дома, растет популярность онлайн-торговли, и злоумышленники этим пользуются. В настоящее время в ботнет Faketoken входит более 10 тыс. устройств. Для распространения вредоносного ПО злоумышленники ежедневно регистрируют до семи новых фишинговых доменов.

Большинство заражений происходит по стандартной схеме. Пользователь размещает объявление на торговой онлайн-площадке и получает СМС или сообщение в мессенджере со ссылкой на фишинговую страницу. Он переходит по ссылке и скачивает установочный .apk файл, который внешне неотличим от приложения данной онлайн-площадки. После запуска файла и предоставления прав вредоносному приложению, злоумышленники получают возможность управлять зараженным устройством. Далее, когда жертва заходит в целевое легитимное приложение (например, мобильный банк или сервис такси), троян под вымышленным предлогом запрашивает ввод данных банковской карты и перехватывает СМС-пароли от банка. С помощью этой информации преступники похищают денежные средства пользователя.

«Faketoken очень быстро распространяется — ежедневно троян заражает более 2 000 устройств. Чтобы не стать жертвой преступников, мы рекомендуем не переходить по ссылкам из подозрительных источников, устанавливать приложения только из официальных магазинов и не отключать защитный сервис Google Play Protect. Использование антивируса и своевременное обновление антивирусных баз также поможет снизить риск заражения», — советует директор по безопасности компании BI.ZONE. Евгений Волошин.
Подробнее: https://eadaily.com/ru/news/2020/04/19/covid-19-razbudil-faketoken-troyan-pohishchaet-dengi