Компания Dr.Web зафиксировала на платформе Android мобильный банковский троян, в котором используются поддельные формы для проведения платежей, куда вводится персональная финансовая информация. Впервые исследователи обнаружили троян Android.ZBot в феврале, и до сих пор он проявлял активность только в России, инфицировав около 52 тысяч устройств и обладая 20 командными серверами.
Специалисты Dr.Web сумели получить доступ к трём ботнетам, обнаружив в их составе от 140 до 2300 устройств. В данный момент активность проявляют 15 из 20 ботнетов. Инфицирование происходит благодаря приложению, которое маскируется под программу из магазина Google Play Store. После его установки оно запрашивает администраторские права; если пользователь отказывает, отображается форма ввода финансовых данных, в надежде, что кто-то её заполнит.
Если трояну дать требуемые полномочия, он прячется и загружается при каждом включении устройства, собирая персональные данные пользователей. Программа наблюдает за сценариями использования устройств и внедряет платёжные формы в другие приложения, имитируя их интерфейс с применением компонента WebView.
Эта возможность доступна не для любых приложений, а только для ограниченного списка, который обновляется при связи с командными серверами. Большей частью это используемые в России банковские мобильные приложения.