Аналитики «Лаборатории Касперского» составили отчет об активном сейчас Android-трояне Riltok, который охотится за платежными данными пользователей в России, Франции и других европейских странах.
Исследователи описывают функционал зловреда, который перехватывает информацию через веб-инжекты, скрывает уведомления от банковских приложений и блокирует антивирусные процессы. На самом деле, Riltok это несколько разных программ, которые объединяют в семейство по принципу наличия библиотеки librealtalk-jni.so. Эта библиотека, вероятно, названная в честь известного мема, обеспечивает обмен данными с управляющим сервером, обновление вредоносных функций и взаимодействие с зараженным устройством.
Распространяется троян через SMS: как правило, операторы Riltok маскируют свой троян под приложения сервисов онлайн-объявлений, распространяемые как SMS-спам. Исследователи также находили кампании, в которых зловред притворялся сервисом для поиска авиабилетов и некого магазина Android-приложений.
После того, как вирусу удалось обмануть бдительность пользователя и попасть на мобильное устройство, Riltok запрашивает доступ к службе специальных возможностей AccessibilityService — якобы из-за ошибки при установке. Всплывающее окно появляется раз за разом, пока жертва не даст разрешение. Далее Riltok перехватывает контроль над SMS и уходит в скрытый режим.
Полученный доступ к AccessibilityService позволяет трояну открывать поддельные окна для кражи персональных данных. Такие формы могут выглядеть как уведомления от Google Play или банковских приложений — их список вшит в библиотеку librealtalk-jni.so. Последние поколения зловреда сразу открывают в браузере фишинговую страницу.
Эксперты «Лаборатории Касперского» уточняют, что, помимо перехвата SMS, Riltok способен скрывать уведомления от легитимных приложений и сворачивать антивирусные программы. Полученные платежные данные троян проверяет на отсутствие ошибок по контрольной сумме номера и длине CVC. У зловреда также есть черный список номеров, с которым он сверяется в ходе работы.
Первые атаки трояна обнаружили в начале 2018 года. Тогда он действовал исключительно в российском интернет-пространстве, но позже появился и в Европе. Сейчас исследователи сообщают об английской, французской и итальянской версиях Riltok.
Читайте также на АКБ другие актуальные новости о троянах:
ФБР и Европол требуют пять русских хакеров-похитителей миллионов $ с трояном GozNym
Пиратская цыпочка-фейк: VPN-сервис оказался маской для трояна AZORult
