Первая модификация опасного вируса Android.ZBot (классический банковский троянец) была выявлена в феврале 2015 года. В базы «Доктор Веб» утилита попала под именем Android.ZBot.1.origin. В дальнейшем вирусные аналитики продолжали отслеживать активность приложения.
Распространяется вирус обычно под видом популярных программ (к примеру, клиент Google Play). После инсталляции и запуска вирус выводит запрос на получение прав администратора. Если пользователь предоставляет полный доступ, на экран выводится сообщение о серьезной ошибке с предложением перезагрузить зараженное устройство.
Если вы ищете аксессуары для GoPro то сайт http://action5.ru/category/aksessuary/ предлагает их крупный выбор с гарантией и услугой доставки.
Если владелец устройства отказывается предоставить повышенные полномочия, вредоносная программа осуществляет попытку незаметно похитить информацию о банковской карте. Для этого на дисплее демонстрируется поддельная форма для прикрепления банковской карты в сервисе Google Play.
Далее программа Android.ZBot.1.origin убирает свою иконку с рабочего стола и начинает отслеживать системные события в процессе загрузки мобильного устройства. Это позволяет вредоносной программе обеспечить автозапуск при каждом включении устройства. После получения контроля над инфицированным устройством троянская программа соединяется с сервером управления, регистрирует атакованный смартфон или планшет и ожидает входящих команд.
Одна из первых инструкций – проверка банковского баланса. Если на счету присутствуют средства, вредоносная программа при помощи SMS-команд мобильного банкинга пытается перевести их на счета злоумышленников. Для скрытия переводов вредоносная утилита перехватывает сообщения от банка.
Любопытно, что часть функционала вируса реализовано в виде отдельной системной Linux-библиотеки, которая хранится в программном пакете Android.ZBot.1.origin. Это обеспечивает защиту от обнаружения антивирусными программами.
Еще одна особенность утилиты – способность похищать пароли и логины для доступа на сервисы мобильного банкинга. Для этого используются поддельные формы ввода, автоматически генерируемые по инструкции с управляющего узла.