Нове шкідливе ПО для Android, що містить функціональні можливості банківського трояна, переадресацію викликів, запис звуку, кейлогерів і діяльність Ransomware. Це шкідливе ПЗ призначене для популярних банківських додатків, таких як HFC, ICICI, SBI, Axis Bank і інші електронні гаманці.

Оператору шкідливого ПО потрібно більше взаємодії з користувачем, щоб атака пройшла успішно. Шкідливий продовжує змушувати користувачів в безперервному циклі до тих пір, поки не буде надано дозвіл для AccessibilityService. Маючи доступність AccessibilityService, він дозволяє зловмисникові зловживати будь-якими дозволами без будь-яких проблем.

Дослідники Quick Heal виявили шкідливе ПО, яке виконує ряд дій на основі команд, отриманих від сервера C & C.

Можливості Android Malware

Як тільки цільове додаток запущено, воно відображає на своєму аркуші фішингову реєстраційну форму з написом і запитує конфіденційну інформацію, таку як ім'я користувача і пароль. Атаки Overlay дозволяють зловмисникові малювати поверх інших вікон і додатків, запущених на пошкодженому пристрої.

Основний файл APK сильно заплутаний, а рядки зашифровані, крім того додані непотрібні дані, щоб утруднити зворотне проектування.

Крім того, використовується перевірка включений режим захисту відтворення, чи ні, якщо він не дозволяє відображати підроблені попередження «Система працює неправильно, відключає захист Google Play» і то шкідливий просить користувачів відключити її.

Також дослідники помітили, що, якщо користувач намагається видалити додаток, шкідливе ПЗ показує попередження з повідомленням «System Error 495».

Якщо шкідлива програма отримує команду «cryptokey», вона шифрує всі файли в пристрої жертви і перейменовує з розширенням «.AnubisCrypt». Як тільки шифрування буде завершено, відобразиться повідомлення про викуп і закриється екран вікна, показуючи Window WebView.

Quick Heal Security Labs опублікувала повідомлення в блозі з повним списком цільових програм і індикаторами компромісу.