Различные модификации банкера Android.ZBot атакуют Android-смартфоны и планшеты российских пользователей с февраля текущего года. Данный троянец интересен тем, что может похищать логины, пароли и другую конфиденциальную информацию при помощи показываемых поверх любых приложений мошеннических форм ввода, внешний вид которых генерируется по команде киберпреступников. При этом сами формы "привязываются" к атакуемым программам, создавая иллюзию того, что они настоящие и принадлежат соответствующему ПО. Данные компании "Доктор Веб" показали, что зараженные Android.ZBot устройства объединяются в бот-сети, при этом число последних в настоящий момент составляет более десятка.

Как и многие другие Android-троянцы, Android.ZBot.1.origin распространяется злоумышленниками под видом безобидной программы, которая скачивается на мобильные устройства при посещении мошеннических или взломанных сайтов, либо загружается другим вредоносным ПО. После того как жертва установит и запустит банкер, тот запрашивает у нее доступ к функциям администратора зараженного смартфона или планшета и в случае успеха выводит на экран сообщение об ошибке, предлагая перезагрузить устройство.

Если пользователь отказывается предоставить троянцу необходимые полномочия, Android.ZBot.1.origin пытается украсть у него подробные сведения о его банковской карте, включая ее номер и срок действия, трехзначный код безопасности CVV, а также имя владельца. Для этого банкер показывает жертве поддельное окно, имитирующее оригинальную форму ввода соответствующей информации настоящего приложения. Примечательно, что аналогичное окно троянец отображает и после получения требуемых функций администратора, однако лишь через некоторое время после установки на целевом устройстве.

Далее Android.ZBot.1.origin удаляет свой значок с экрана приложений, прячась от пользователя, и начинает контролировать системные события, связанные с загрузкой ОС. Тем самым троянец обеспечивает себе автоматический запуск при каждом включении инфицированного устройства. Как только вредоносная программа получает управление, она связывается с удаленным узлом, регистрирует на нем зараженный смартфон или планшет и ожидает дальнейших указаний злоумышленников. В зависимости от полученной директивы сервера банкер выполняет следующие действия: отправляет SMS с заданным текстом на указанный номер, совершает телефонный звонок, отправляет SMS по всем телефонным номерам из книги контактов, перехватывает входящие SMS, получает текущие GPS-координаты, показывает специально сформированное диалоговое окно поверх заданного приложения.

Часть вредоносного функционала Android.ZBot.1.origin реализована вирусописателями в виде отдельной Linux-библиотеки с именем libandroid-v7-support.so, которая хранится внутри программного пакета троянца. Это обеспечивает банкеру защиту от детектирования антивирусами и позволяет ему дольше находиться на зараженных устройствах необнаруженным.

Однако одна из главных особенностей Android.ZBot.1.origin заключается в его способности похищать логины и пароли для доступа к сервисам мобильного банкинга при помощи поддельных форм ввода, генерируемых по указанию управляющего сервера. Вначале троянец получает от злоумышленников команду, содержащую название целевого приложения, после чего с определенной периодичностью начинает проверять, запущена ли пользователем соответствующая программа. Как только необходимая программа начинает работу, банкер при помощи функции WebView формирует специальную веб-форму, содержимое которой загружает с удаленного узла.

В частности, киберпреступники могут задать размер демонстрируемого окна, его внешний вид, включая заголовок и сопроводительный текст, количество полей для ввода данных, сопутствующие изображения. При этом выводимая на экран форма "привязывается" к атакуемому приложению: если потенциальная жертва фишинга попытается избавиться от показанного сообщения и вернуться к окну оригинальной программы при помощи аппаратной кнопки "Назад", Android.ZBot.1.origin перенаправит пользователя на главный экран операционной системы, закрыв само приложение. В результате у владельца зараженного мобильного устройства может сложиться впечатление, что увиденный им ранее запрос в действительности принадлежит соответствующей программе, и ему все-таки необходимо ввести требуемую информацию. Как только троянец получает от жертвы ее логин и пароль, эти данные загружаются на удаленный узел, после чего злоумышленники обретают полный контроль над учетными записями мобильного банкинга пользователей и могут управлять их счетами.

На данный момент известно о нескольких модификациях вредоносного приложения Android.ZBot.1.origin, которое киберпреступники применяют преимущественно против российских пользователей.