Шпионские трояны для Android научились обходить двухфакторную авторизацию

Троянское приложение для Android-устройств iBanking научили обходить двухфакторную авторизацию на основе кодов подтверждений, сообщают специалисты антивирусной компании ESET. Будучи установленным на устройство, «зловред» может шпионить за пользователем, фиксируя его активность, перехватывать входящие и исходящие SMS-сообщения, перенаправлять голосовые вызовы и даже записывать звук с помощью микрофона устройства.

По данным экспертов ESET, на одном из подпольных форумов произошла утечка исходного кода этой вредоносной программы в свободный доступ. Утечка этих данных, среди которых находились исходные тексты панели управления ботами, а также сам билдер, может помочь злоумышленникам переориентировать iBanking на другие цели. Из-за попадания исходных текстов в свободный доступ, злоумышленники стали использовать мобильный троян более активно.

На основе исходных кодов хакеры разработали новый тип веб-инъекций и мобильный бот, который устанавливается с ее помощью. Веб-инъекция использует JavaScript для компрометации веб-страницы социальной сети Facebook. Она позволяет злоумышленникам заманить ничего не подозревающего владельца Android-аппарата на страницу установки вредоносной программы.

Как только пользователь входит в свой аккаунт Facebook, вредоносный код пытается внедрить вышеприведенный скрипт на веб-страницу, что приводит к появлению специального окна. После того, как пользователь введет свой номер телефона, он перенаправляется на следующую страницу (в случае выбора ОС Android в меню). Если SMS-сообщение со ссылкой не было доставлено мобильному устройству пользователя, он также может использовать прямую ссылку для скачивания, либо воспользоваться инструкцией по установке.

Подобный способ компрометации веб-страницы Facebook является эффективным для обмана невнимательных пользователей социальной сети. Специалисты ESET не исключают возможность появления специальных версий трояна для других социальных сетей и сервисов в Интернете.