Рил ток, синк эбаут ит: Android-троян Riltok из России пошел захватывать мир

Опубликовано at 15:25
85 0

Аналитики «Лаборатории Касперского» составили отчет об активном сейчас Android-трояне Riltok, который охотится за платежными данными пользователей в России, Франции и других европейских странах.

Исследователи описывают функционал зловреда, который перехватывает информацию через веб-инжекты, скрывает уведомления от банковских приложений и блокирует антивирусные процессы. На самом деле, Riltok это несколько разных программ, которые объединяют в семейство по принципу наличия библиотеки librealtalk-jni.so. Эта библиотека, вероятно, названная в честь известного мема, обеспечивает обмен данными с управляющим сервером, обновление вредоносных функций и взаимодействие с зараженным устройством.

Распространяется троян через SMS: как правило, операторы Riltok маскируют свой троян под приложения сервисов онлайн-объявлений, распространяемые как SMS-спам. Исследователи также находили кампании, в которых зловред притворялся сервисом для поиска авиабилетов и некого магазина Android-приложений.

После того, как вирусу удалось обмануть бдительность пользователя и попасть на мобильное устройство, Riltok запрашивает доступ к службе специальных возможностей AccessibilityService — якобы из-за ошибки при установке. Всплывающее окно появляется раз за разом, пока жертва не даст разрешение. Далее Riltok перехватывает контроль над SMS и уходит в скрытый режим.

Полученный доступ к AccessibilityService позволяет трояну открывать поддельные окна для кражи персональных данных. Такие формы могут выглядеть как уведомления от Google Play или банковских приложений — их список вшит в библиотеку librealtalk-jni.so. Последние поколения зловреда сразу открывают в браузере фишинговую страницу.

Эксперты «Лаборатории Касперского»  уточняют, что, помимо перехвата SMS, Riltok способен скрывать уведомления от легитимных приложений и сворачивать антивирусные программы. Полученные платежные данные троян проверяет на отсутствие ошибок по контрольной сумме номера и длине CVC. У зловреда также есть черный список номеров, с которым он сверяется в ходе работы.

Первые атаки трояна обнаружили в начале 2018 года. Тогда он действовал исключительно в российском интернет-пространстве, но позже появился и в Европе. Сейчас исследователи сообщают об английской, французской и итальянской версиях Riltok.

Читайте также на АКБ другие актуальные новости о троянах:

ФБР и Европол требуют пять русских хакеров-похитителей миллионов $ с трояном GozNym

Пиратская цыпочка-фейк: VPN-сервис оказался маской для трояна AZORult

Густой навар Gustuff: новый Android-троян покоряет мир

Подписываемся, следим @CyberAgency

Related Post

Уязвимость в ThreadX угрожает стабильной работе миллиардов электронных устройств

Опубликовано - 21.01.2019 0
Исследователи кибербезопасности из компании Embedi обнаружили уязвимость, эксплуатация которой теоретически может коснуться каждого на Земле. Дыра находится в микропрограмме популярного…