Android-троян Faketoken похищает банковские данные и шифрует файлы

О существование мобильных банковских троянов, которые оснащены функционалом вымогательского ПО на сегодняшний день мало кто не знает. Чаще всего такие вредоносы способны требовать выкуп за разблокировку устройства, предварительно заблокировав его. Однако недавно был уличен новый тип Trojan-Banker.AndroidOS.Faketoken экспертами «Лаборатории Касперского», который может шифровать хранящиеся файлы на устройстве.

Не одна тысяча установочных пакетов Faketoken, которые имеют возможность шифровать файлы, была обнаружена исследователями, самый ранний из которых относится к июлю уходящего года. Свыше 2 тыс. финансовых приложений способен атаковать банковский троян. Известно, что им были поражены около 16 тысячи пользователей в 27 странах, в том числе в России, Украине, а также Германии.



Под видом различных программ, игр и Adobe Flash Player ведется распространение злоумышленниками вредоносного ПО. С реализованными в ОС механизмами безопасности способен взаимодействовать Faketoken, запрашивая разрешение на отображение поверх окон либо становясь для работы с SMS приложением по умолчанию.
Faketoken похищает данные, получив все нужные права, установившись на ОС. Данные с фразами на различных языках для 77 локализаций смартфона либо планшета загружается с C&C-сервера с помощью вредоносного ПО, благодаря которым на экране гаджеты троян отображает фишинговые уведомления. При этом с помощью симметричного алгоритма AES осуществляется шифрование хранящихся на девайсе файлов. Faketoken добавляет расширение .cat. к зашифрованным файлам, которыми могут быть не только медиа-файлы, но и документы.