Компанія ESET повідомила про зростання активності мобільного троянця, краде банківські дані в обхід двофакторної аутентифікації. Android/Spy.Agent.SI розповсюджується під виглядом мобільного додатку FlashPlayer. Після завантаження він запитує доступ до функцій адміністратора пристрою, що забезпечує їй захист від видалення.

Кожні 25 секунд троянець відправляє на віддалений сервер інформацію про пристрої, включаючи назву моделі, IMEI, мову, дані про активацію прав адміністратора. Потім йде пошук банківських мобільних додатків в пам'яті пристрою.

Виявивши шукане, троянець завантажує з віддаленого сервера підроблені екрани введення логіна і пароля. Коли жертва запускає банківське додаток, фальшивий екран з'являється поверх легітимного і блокує його до введення логіна і пароля мобільного банку.

Логін і пароль у фальшиву форму, відправляються на віддалений сервер. За допомогою цих облікових даних зловмисники можуть увійти в акаунт жертви і вкрасти гроші з рахунку. Троянець відкриває доступ до SMS-повідомлень на інфікованому пристрої, що дозволяє перехоплювати повідомлення від банку і видаляти їх, не викликаючи підозр власника.

Якщо перші версії Android/Spy.Agent.SI були досить прості і їх шкідлива активність легко виявлялася, то нові модифікації троянця ефективно приховують свою присутність в системі.