Первую модификацию вируса Android.ZBot (банковский троян) специалисты обнаружили еще в феврале 2015 года. После этого аналитики «Доктор Веб» постоянно отслеживали активность вредоносной утилиты.
Вирус, занесенный в базы как Android.ZBot.1.origin распространяется по самой распространенной схеме – под видом легального ПО (обычно маскируется под программу Google Play). После инсталляции и активации вредоносной программы пользователь получает запрос на повышение прав до администраторских. Если владелец устройство предоставляет данные привилегии, на дисплее появляется сообщение об ошибке с предложением перезагрузить мобильное устройство.
Если пользователь отказывает устройству в предоставлении максимальных полномочий, утилита осуществляет попытку похитить с устройства информацию о банковской карте, включая код CVV. Для этого пользователю демонстрируется поддельное окно ввода платежной информации, которое имитирует привязку карты в программе Google Play.
Далее утилита удаляет свою пиктограмму с рабочего стола и начинает контролировать процесс загрузки ОС, что позволяет ей автоматически стартовать при каждом включении зараженного устройства. После получения управления вредоносная программа связывается с внешним сервером, регистрирует на нем инфицированное устройство и ожидает новых инструкций. Доступны следующие команды:
— отправка SMS на определенный номер с произвольным текстом;
— совершение исходящего вызова;
— рассылка SMS по всем контактам;
— фиксация текущих координат;
— перехват входящих сообщений;
— демонстрация диалоговых окон поверх заданной программы.
К примеру, сразу после регистрации на сервере, троянская программа получает команду на проверку текущего банковского баланса. Если баланс положителен, Android.ZBot.1.origin автоматически переводит доступную сумму на счета злоумышленников. Кража средств осуществляется при помощи SMS-команд мобильного банкинга, при этом пользователь ничего не подозревает, поскольку утилита перехватывает входящие оповещения и сообщения с проверочными кодами.