Банковское Android-приложение меняет пароль на устройстве при попытке его удаления из системы

Основная особенность фальшивого приложения заключается в его способности менять пароль на устройстве при попытке жертвы деактивировать права администратора программы или удалить ее. Fanta SDK может работать на всех версиях Android. Приложение распространяется посредством вредоносных ссылок или через сторонние магазины приложений.

Оказавшись на системе, приложение активируется только в том случае, если на мобильном гаджете уже установлена оригинальная программа «Сбербанк Онлайн». Далее Fanta SDK запрашивает доступ с правами администратора. Как отмечают исследователи, большинство легитимных приложений не запрашивают права администратора.

Получив разрешение пользователя, вредоносное приложение демонстрирует на экране стартовую страницу с логотипом Сбербанка и просит жертву ввести свои учетные данные. Далее полученная информация отправляется на C&C-сервер злоумышленников, которые используют ее для незаметного хищения средств со счетов пользователя.

Заподозрив неладное, жертва может попытаться деактивировать права администратора и удалить вредоносное приложение. Подобные действия приводят к тому, что Fanta SDK меняет пароль на устройстве и в результате пользователь больше не может использовать собственный смартфон или планшет.

Помимо прочего, при запуске легитимного приложения Google Play Store на устройстве вредонос закрывает online-каталог и отображает на экране фальшивую страницу с рекламным баннером, извещающим жертву о выигрыше смартфона Apple iPhone 6. Для получения приза пользователю необходимо указать номер своей кредитной карты и пароль.

Эксперты TrendMicro уже проинформировали о проблеме руководство Сбербанка.

По материалам SecurityLab