Android-троян блокирует исходящие звонки пользователей в банк

Олег Иванов 15 Июля 2016 - 20:54

Домашние пользователи

Android

Symantec

Защита мобильных устройств

Кража данных

...

Android-троян блокирует исходящие звонки пользователей в банк

Вслед за вредоносной программой для Android, появившейся ранее в этом году и перехватывающей входящие вызовы для обхода двухфакторной системы аутентификации, специалисты Symantec теперь обнаружили троян, который не позволяет пользователям совершать исходящие звонки в банки со своих смартфонов.

Вредонос Android.Fakebank.B, появившийся в октябре 2013 года, в марте получил функционал, позволяющий блокировать звонки. Этот вредонос предназначается в основном для клиентов российских и южнокорейских банков.

Анализируя последнюю версию трояна Fakebank.B Android, исследователи Symantec обнаружили, что после установки вредонос регистрирует компонент BroadcastReceiver. Учитывая, что этот компонент запускается каждый раз, когда пользователь делает вызов, троянец может контролировать исходящие вызовы и набранные номера на зараженном устройстве.

Вредонос отслеживает текущие вызовы на номера, относящиеся к центрам обслуживания клиентов в банках, а затем программно отменяет эти вызовы. По мнению исследователей Symantec, троян может блокировать следующие номера: KB Bank: 15999999; KEB Hana Bank: 15991111; NH Bank: 15442100, 15882100; Сбербанк: 80055550; SC Bank: 15881599, 15889999; Shinhan Bank: 15448000, 15778000, 15998000.

Клиенты, звонящие в центры обслуживания с зарегистрированного мобильного устройства обычно перенаправляются в Interactive Voice Response (система предварительно записанных голосовых сообщений, выполняющая функцию маршрутизации звонков внутри call-центра с использованием информации, вводимой клиентом на клавиатуре телефона с помощью тонального набора), где они могут заблокировать украденные или утерянные карты. Однако исследователи утверждают, что данный троян может блокировать эти вызовы, что также дает злоумышленникам больше времени, чтобы получить данные с зараженного мобильного устройства.

Тем не менее, пользователи могут найти другие средства для связи с банком, чтобы прервать операции злоумышленников. Можно воспользоваться вызовом с городского телефона, с другого мобильного телефона или отправить банку информацию по электронной почте. Fakebank.B устанавливает бэкдор и ворует информацию с зараженного мобильного устройства, а также может отправлять сообщения на номера в списке контактов скомпрометированного устройства, утверждают исследователи.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 06 Февраля 2026 - 09:23

macOS Трояны Домашние пользователи Корпорации Microsoft

Новые инфостилеры атакуют macOS и распространяются через WhatsApp

Microsoft предупреждает: инфостилеры больше не ограничиваются Windows и всё активнее осваивают macOS. Об этом говорится в новом исследовании команды Microsoft Defender Security Research, посвящённом эволюции вредоносных программ для кражи данных.

Если раньше такие «цифровые карманники» в основном охотились за пользователями Windows, теперь они уверенно чувствуют себя и в экосистеме Apple.

Злоумышленники всё чаще используют кросс-платформенные языки вроде Python, а доставку вредоносного кода маскируют под вполне безобидные приложения: PDF-редакторы, утилиты и даже мессенджеры.

По данным Microsoft, с конца 2025 года заметно выросло число кампаний, нацеленных именно на macOS. В ход идут приёмы социальной инженерии, включая популярную схему ClickFix, а также поддельные установщики. Так распространяются специализированные зловреды вроде DigitStealer, MacSync и Atomic macOS Stealer (AMOS).

Это не просто адаптированные версии Windows-малвари. Атакующие активно используют нативные инструменты macOS, AppleScript и «бесфайловые» техники, чтобы незаметно вытаскивать данные из браузеров, связок ключей, сессий и даже сред разработки. Такой подход позволяет действовать скрытно и обходить традиционные средства защиты.

Один из показательных кейсов — фейковое приложение Crystal PDF, которое рекламировалось как полезный инструмент для работы с документами. Осенью 2025 года его активно продвигали через вредоносную рекламу и SEO-манипуляции в Google Ads.

После установки Crystal PDF закреплялся в системе и начинал воровать данные из браузеров Firefox и Chrome, включая cookies, сессии и сохранённые учётные данные. По сути, вся браузерная активность пользователя оказывалась в распоряжении злоумышленников.

Ещё более изобретательным оказался Eternidade Stealer. Этот зловред использует червеподобную схему распространения и WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России). Внутренний Python-скрипт автоматизирует рассылку сообщений через захваченные аккаунты, собирает список контактов жертвы и отправляет им вредоносные вложения.

После заражения вредонос постоянно следит за активными окнами и процессами, выжидая момент, когда пользователь зайдёт в банковский сервис, платёжную систему или криптобиржу вроде Binance, Coinbase или Stripe.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »