Стало известно, что троян Android/Spy.Agent.SI скрывается под видом приложения FlashPlayer и, загрузившись, запрашивает доступ к функциям администратора мобильного устройства, обеспечивая себе таким образом защиту от удаления. 2-3 раза в минуту вирус посылает на удаленный сервер данные об устройстве: название модели, язык, IMEI, сведения о правах администратора и др. За этим следует поиск банковских приложений в памяти Android-устройства. Найдя необходимое приложение, троян загружает поддельные экраны для ввода логина с паролем.
Когда владелец устройства запускает мобильное банковское приложение, система размещает поверх легитимного экрана поддельный и блокирует его до момента ввода логина с паролем. Введенная пользователем информация отправляется на удаленный сервер. С помощью учетных данных клиента преступники получают доступ к аккаунту жертвы и могут похитить деньги со счета. Кроме того, троян может перехватывать СМС-сообщения от финучреждения и удалять их незаметно для владельца телефона.
Эксперты подчеркивают, что Android/Spy.Agent.SI довольно быстро развивается. Так, первые 2 версии программы были простыми, а их вредоносную активность можно было легко обнаружить. А новые модификации вируса достаточно эффективно скрывают свое наличие в зараженной системе.
Сообщается, что вредоносная кампания на сегодняшний день ориентируется на два десятка крупнейших банков Турции, Новой Зеландии, Австралии, которые имеют мобильные приложения. При этом подчеркивается, что троян может быть сравнительно быстро перенаправлен на кредитные организации, работающие в других странах.
