Опасные Android-приложения шпионят за вами и крадут деньги.

Как трояны крадут деньги через поддельные диалоги на Android

Эксперты CYFIRMA обнаружили новую волну атак с использованием вредоносных Android-приложений, маскирующихся под банковские клиенты. Они крадут данные, перехватывают сообщения и проводят несанкционированные платежи. Особая активность зафиксирована в Индии, но угроза носит глобальный характер.

Заражение начинается с фейковых сайтов, поддельных обновлений и фишинговых ссылок. После установки приложение запрашивает критические разрешения, скрывает свою иконку и запускается в фоновом режиме. Основная схема основана на двухэтапной установке: сначала загружается дроппер, затем — основной троян, который имитирует интерфейс настоящего банковского приложения. Пользователь вводит данные, а вредонос пересылает их через Firebase.

Троян может читать SMS, получать коды, отслеживать звонки, включать переадресацию, выполнять USSD-запросы и сохраняться при перезагрузке. Управление устройством осуществляется удалённо через push-уведомления. Firebase используется как незаметный канал связи.

Распространение идёт через поддельные сайты, заражённые APK-файлы, QR-коды и даже предустановку на дешёвых устройствах. CYFIRMA рекомендует отключить установку из неизвестных источников, не открывать подозрительные ссылки и использовать EDR-защиту на смартфонах.

Кампания демонстрирует высокий уровень подготовки злоумышленников и уязвимость Android-экосистемы. Один неверный клик может стоить всех финансовых данных.