Як пишуть розробники Доктор Веб у своєму блозі, троянець Android.BankBot.211.origin змушує користувачів надати йому доступ до спеціальних можливостей (Accessibility Service).
«З їх допомогою шкідлива програма управляє мобільними пристроями і краде конфіденційну інформацію клієнтів фінансових організацій», - зазначає видання.
Android.BankBot.211.origin розповсюджується під виглядом простих додатків, наприклад, програвача Adobe Flash Player, пишуть розробники.
Спочатку вірус атакував тільки жителів Туреччини, але тепер загрожує користувачам десятків країн.
Вірус може демонструвати фальшиві вікна входу до системи інтернет-банкінг, платіжні системи та магазин Google Play. Крім того, вірус може викрадати логіни, паролі та іншу аутентифікаційну інформацію.
Читайте також: Експерти не виключають можливості повернення вірусу Petya
Служба доступності полегшує роботу з смартфонами та планшетами Android і використовується різними способами, у тому числі для допомоги людям з обмеженими можливостями.
Це дозволяє програмам самостійно натискати різні елементи інтерфейсу, такі як кнопки у діалогових вікнах та системні меню. Троянець змушує користувача надавати йому ці права та використовує їх для самостійного додавання себе до списку адміністратора пристрою.
Потім Android.BankBot.211.origin встановлює себе як менеджер повідомлень за замовчуванням і отримує доступ до функції захоплення екрану.
Всі ці дії супроводжуються відображенням системних запитів, які можуть бути знехтувані цілком, оскільки шкідлива програма негайно підтверджує їх. Якщо на більш пізньому етапі власник пристрою намагається вимкнути будь-яку функцію, отриману Android.BankBot.211.origin, банкір забороняє його та повертає користувача до попередніх системних меню.
Джерело: news.drweb.com