В сети появился троян для Android, который может перехватить пароли от любых приложений

Вирус не атакует устройства, которые находятся в России. Возможно, так его создатели пытаются избежать уголовного преследования в своей стране.

В Google Play обнаружили новый троян, который крадет пароли от мобильных приложений банков и социальных сетей. С его помощью можно атаковать почти любое приложение. Вирус маскируется под приложение-фонарик Flashlight LED Widget. После установки и запуска программа запрашивает права администратора устройства и разрешение открывать окна поверх других приложений.

Дальше троян отправляет на командный сервер злоумышленников информацию об устройстве, включая список установленных приложений и фотографию владельца, сделанную фронтальной камерой. Если зараженное устройство находится в России, Украине или Беларуси, то троян деактивируется. Специалисты ESET предполагают, что атакующие таким образом пытаются избежать уголовного преследования в своей стране.

Когда жертва запускает интересующее злоумышленников приложение, на экране появится поддельное окно для ввода данных. Логины, пароли или данные банковских карт, введенные в фишинговом окне, будут отправлены владельцам трояна. В ходе исследования специалисты ESET наблюдали перехват паролей Commbank, NAB и Westpac Mobile Banking, а также Facebook, Instagram и Google Play. Опасность трояна в том, что атакующие могут перенацелить его почти на любое приложение.

Вирус может блокировать экран устройства, выводя сообщение о загрузке обновлений. Эта функция, предположительно, используется при краже средств со счета. Злоумышленники удаленно блокируют смартфон, чтобы жертва не заметила подозрительную активность и не смогла принять меры.