Мобільний троянець російського походження Android/Spy.Banker.F демонструє стійке зростання числа виявлених з початку 2014 року. Пік активності шкідників припав на лютий 2015 року, заявили експерти ESET.

Перші зразки Android/Spy.Banker, призначені для крадіжки даних онлайн-банкінгу, були виявлені в кінці 2013 року. Починаючи з середини 2014 року зловмисники активно розвивають це сімейство, запускаючи в експлуатацію нові варіанти шкідливого ПО, орієнтовані на різні системи онлайн-банкінгу. Версія Android/Spy.Banker.F, опрацьована фахівцями ESET, становить до 68% всіх виявлених зразків колекції.

До 98% заражень Android/Spy.Banker.F припадає на Росію, 0,76 і 0,21% відповідно - на Україну і Білорусію. При цьому деякі зразки, виявлені вірусні експертами ESET, поширювалися через колумбійські і чилійські сайти.

Зараження відбувається, коли Android-користувач відвідує один з інфікованих сайтів. На його смартфон або планшет завантажується АРК-файл під назвою "Anketa", після чого в головному меню пристрою з'являється значок "Установка". Коли користувач запускає додаток, воно запитує дозволу адміністратора під приводом необхідності шифрування даних (його підтримують версії Android 3.0 і вище). Завдяки прав адміністратора встановлений Android/Spy.Banker.F перешкоджає своєму видалення з системи.

Після установки троянець передає на віддалений сервер номер телефону, IMEI зараженого пристрою, країну, версію Android і інші дані. Функціонал Android/Spy.Banker.F дозволяє злочинцям отримати логіни і паролі онлайн-банкінгу, віддалено керувати зараженим пристроєм і встановлювати інші шкідливі програми.

Коли користувач відкриває Google Play, Android/Spy.Banker.F виводить на екран форму для введення даних банківської карти. Неуважний користувач цілком може переплутати вікно з легітимним запитом або ввести аутентифікаційні дані, щоб позбутися від спливаючих вікон. Експерти ESET рекомендують дотримуватися обережності при установці мобільних додатків, знайдених за межами Google Play, ігнорувати сайти, що пропонують завантажити APK-файлів, і не переходити за підозрілими посиланнями, отриманими в SMS або онлайн-месенджерах.