Пользователей в РФ атакует мобильный банковский троян Rotexy

Как сообщают эксперты «Лаборатории Касперского», одним из наиболее активных банковских троянов для мобильных платформ в настоящее время является Rotexy. Только за период с августа по октябрь текущего года было зафиксировано более 70 тыс. попыток атаковать устройства пользователей, преимущественно в России (в 98% случаев).

Отличительной чертой вредоноса является использование команд сразу из трех источников: через сервис Google Cloud Messaging (в виде сообщений JSON), с C&C-сервера и через SMS-сообщения.

По словам исследователей, Rotexy является эволюционировавшей версией шпионского трояна 2014 года, детектируемого ЛК как Trojan-Spy.AndroidOS.SmsThief. В настоящее время вредонос совмещает в себе функции банковского трояна и вымогательского ПО.

Троян распространяется в виде AvitoPay.apk через сайты с названиями youla9d6h.tk, prodam8n9.tk, prodamfkz.ml, avitoe0ys.tk и им подобными. После загрузки на устройство жертвы Rotexy проверяет, не запущен ли он на эмуляторе, а также определяет страну, в которой находится устройство. Оказавшись на эмуляторе или смартфоне за пределами РФ, троян отображает «заглушку».

В случае успешного прохождения проверки Rotexy регистрируется в Google Cloud Messaging и запускает сервис SuperService, отслеживающий наличие у трояна прав администратора. В случае отсутствия прав администратора вредонос запрашивает их у пользователя в бесконечном цикле.

Когда пользователь предоставляет Rotexy требуемые права, на экране появляется сообщение об ошибке, а иконка приложения исчезает. При попытке отозвать права администратора вредонос отключает экран.

В качестве банковского трояна Rotexy похищает данные банковских карт, перекрывая экран фишинговой страницей. Однако иногда вредонос получает инструкции действовать как вымогатель. Тогда он блокирует экран смартфона и отображает окно с требованием заплатить «штраф» якобы за просмотр запрещенного видео.

Источник