В подробном отчете, опубликованном в его блоге , исследователь безопасности Лукас Стефанко детализировал, как банковский троянец, изображающий из себя законный телефонный звонок, делающий запись применения, крадет информацию о банковских делах из поставивших под угрозу устройств на базе Android.

Зараженное приложение было установлено больше чем на 10 000 устройств на базе Android, и ему удалось украсть банковские верительные грамоты даже при том, что двухфакторная аутентификация SMS была позволена на испытательном устройстве с помощью услуг доступности Android.

По словам мобильного исследователя безопасности ESET, приложение для Android QRecorder было первоначально приложением без вредоносного программного обеспечения, но в последующем выпуске разработчик решил быть банковского троянца, чтобы сделать немного быстрых денег.

QRecorder изобразил из себя автоматический рекордер требования и голосовую полезность записи, которая просила жертву дать ему разрешение дистиллировать другие приложения, функция, которую он использует после дальнейшего анализа, чтобы натянуть наложение фишинга на официальные банковские приложения, используемые к установленному сроку.

Как только пользователь кратко записал его верительные грамоты в рамках наложения фишинга, банковский троянец пошлет все это в сервер нападавшего.

Банковский троянец использовал инновационный способ двигаться 2FA с помощью оверлейных программ фишинга

Важно упомянуть, что вредоносное приложение не пошло прямо для нападения фишинга, поскольку у этого не было троянской функциональности, но это будет действовать как пипетка, ждущая команд активации от крюка и загружающая троянский полезный груз по запросу.

Нападавший решил бы план действий в зависимости от приложений, установленных на поставившем под угрозу устройстве на базе Android, наращивая инфекцию, только если одно из 18 официальных банковских приложений из Германии, Польши и Чешской Республики было установлено.

Прежде, чем загрузить злонамеренный полезный груз, QRecorder спросил бы цель активировать услуги Доступности, которые это будет использовать для загрузки, устанавливать и запускать вредоносное программное обеспечение.

Следующие шаги были вызовом оверлейных программ фишинга каждый раз, когда одно из официальных банковских приложений будет запущено и затем сбор и отправка верительных грамот нападавшему.

До сих пор есть только две известных жертвы, которые потеряли больше чем 10 000€ объединенные (11 734$), но списку можно было намного дольше дать количество устройств , на которых было установлено приложение QRecorder.

Банкир Android нашел на Google Play с 10K +, устанавливает уже, украл более чем 10 000 евро.

Видео пример, как это неправильно использует услуги доступности и накладывает банковское приложение (1:09) .https://t.co/ruKdCvCdZe pic.twitter.com/gvif8Ulu7e

— Лукас Стефанко (@LukasStefanko) 26 сентября 2018