Основными целями являются клиенты банков в Германии, Польше и Чехии.
Вредоносная программа, маскирующаяся под утилиту для записи телефонных звонков в Google Play Store, смогла украсть тысячи евро у нескольких клиентов банков в Европе. Вредоносная программа была установлена в приложении QRecorder, замаскированной под инструмент для автоматического вызова и записи голоса. Приложение было загружено более 10 тыс. раз.
После установки вредоносное приложение может перехватывать текстовые сообщения и запрашивать разрешение для перекрытия других приложений своим интерфейсом. Данные возможности позволяют похитить двухфакторные коды аутентификации, которые пользователи получают через SMS, и контролировать то, что пользователь видит на экране.
По словам исследователей безопасности из ESET, функции записи звука работали так, как и должны, поэтому у жертв не было причин опасаться вредоносной активности.
Операторы вредоноса отправляют инструкции в течение 24 часов с момента установки приложения. Одной из функций является сканирование устройства на наличие конкретных банковских приложений.
Всякий раз, когда запускается целевое банковское приложение, троян перекрывает его фишинговым экраном, который собирает учетные данные для входа и передает их злоумышленникам.
Как отметили специалисты, основными целями являются банки Германии, Польши и Чехии. В частности, вредоносное ПО предназначено для приложений Raiffeisen Bank, чешских банков ČSOB и Česká Spořitelna, AirBank, Equa, ING, Bawag, Fio, Oberbank и Bank Austria.
