Троянское такси

Новости Угрозы

Представьте: вы торопитесь на работу, деловую встречу или свидание. Привычно запускаете свое любимое приложение для вызова такси, но оно просит вас ввести номер банковской карты. Подозрительно? Да вроде бы не очень — наверное, аккаунт каким-то образом «отвязался» и просто надо заново ввести данные.

Однако через какое-то время со счета вашей карты начинают пропадать деньги. Что же случилось? А случилось то, что вам не повезло подцепить мобильный троянец Faketoken, который с недавних пор начал воровать данные карт, подделывая интерфейс приложений для вызова такси.

Вообще, данный троянец существует уже давно. Долгие годы он наращивал свою функциональность и к текущей версии — наши эксперты называют ее Faketoken.q, — научился массе разнообразных фокусов и трюков.

Попав на смартфон (судя по иконке зловреда, Faketoken проникает на смартфоны жертв с помощью SMS-рассылки с призывом загрузить фотографию) и установив дополнительные модули, троян прячет свой ярлычок и начинает в фоновом режиме следить за тем, что происходит в системе.

Иконка установленного трояна Faketoken

В первую очередь его интересуют звонки пользователя — заметив начало звонка, троян начинает его записывать, а после завершения отсылает запись на сервер злоумышленников. Кроме того, троян интересуется тем, какими приложениями пользуется владелец смартфона.

Как только Faketoken обнаруживает запуск программы, интерфейс которой он умеет подделывать, троянец мгновенно перекрывает его собственным окном. Для этого используется штатная функция операционной системы позволяющая вывести окно поверх всех других, этой функцией пользуется куча легитимных приложений, например, мессенджеры, оконные менеджеры и так далее.

Перекрыв интерфейс настоящего приложения, троян просит пользователя ввести номер карты, включая секретный код с обратной стороны — при этом окно ввода по цветовой гамме очень похоже на настоящее.

Троян Faketoken.q имитирует интерфейс популярных приложений для вызова такси

Faketoken.q охотится на целую массу различных приложений. Общее у них одно — во всех этих сервисах просьба ввести номер карты выглядит совершенно нормально и не вызывает особых подозрений. Среди атакуемых приложений есть несколько мобильных банков, Android Pay, Google Play Store, приложения для покупки авиабилетов, бронирования номеров в гостиницах и оплаты автомобильных штрафов — а также приложения для вызова такси.

На этапе непосредственно кражи денег с банковской карты пользователя Fakotoken использует другой трюк: он перехватывает все входящие SMS, скрывает их от пользователя и перенаправляет на сервер злоумышленников, которые воруют из них одноразовые пароли для подтверждения платежей.

Как банковские троянцы обходят двухфакторную аутентификацию

Судя по небольшому количеству зарегистрированных нами атак и ошибкам в отображении интерфейса, которые вы можете видеть на одном из скриншотов выше, попавшая на исследование в нашу антивирусную лабораторию версия трояна еще не окончательная, а тестовая.

Однако в трудолюбии создателям Faketoken не откажешь, так что они наверняка доведут ее «до кондиции» и через некоторое время может начаться волна заражений уже «коммерческой» версией. И если банками на смартфонах пользуются не все, то приложения такси установлены уже, наверное, у большей части городских жителей — что значительно повышает вероятность успешной кражи денег у жертв.

Как защититься от Faketoken и подобных ему мобильных троянов, ворующих номера карт и перехватывающих SMS с одноразовыми паролями для подтверждения платежей:

  • Обязательно запретите в настройках Android установку приложений из неизвестных источников. Это делается в меню Настройки -> Безопасность -> Неизвестные источники.