Android.Fakebank научился перехватывать звонки в банк

Symantec встретила новое вредоносное поведение среди приложений, зараженных банкером Android.Fakebank. Они научились перехватывать телефонные звонки, сделанные пользователями в их банки. Эти приложения распространяются через сторонние магазины для Android и на некоторых сайтах социальных сетей. На данный момент компания обнаружила 22 приложения, которые ориентируются на клиентов корейских банков.

Варианты Fakebank, которые специалисты находили ранее, обычно только собирали банковские SMS, записывали телефонные звонки в банки и отображали интерфейс для входа в поддельный банкинг. Однако новый вариант вредоноса способен перехватывать как входящие, так и исходящие звонки пользователя.

Когда приложение запущено, оно собирает и отправляет персональную информацию пользователя на командный сервер. Сервер в свою очередь отправляет конфигурацию с указанием номеров телефонов, которые будут использоваться в афере. Это позволяет приложению обманывать пользователей, когда настроенные номера телефонов отображаются для исходящего или входящего вызова.

Когда пользователи набирают реальный номер телефона банка, вредоносное ПО может перехватывать и перенаправлять вызов на настроенный телефонный номер мошенника. При этом приложение накладывает поддельный пользовательский интерфейс и отображает легитимный номер, а не тот, на который реально идет вызов. Когда звонок осуществляется мошенником, ПО делает то же самое, чтобы у пользователя сложилось впечатление, что ему звонит банк.