Банковский вирус Fakebank впервые был выявлен экспертами в 2013 году. Утилита регистрирует себя на атакованном устройстве в роли системного сервиса, загружает с узла управления файл конфигурации, после чего используется злоумышленниками для инсталляции на устройство других опасных программ.

Позднее были зафиксированы несколько новых версий Fakebank. К примеру, в середине 2016 года компания Symantec предупредила о появлении обновленного Fakebank. Новая утилита была способна эффективно блокировать попытки пользователя связаться с поддержкой определенных банков (Россия и Южная Корея), что не позволяло пострадавшим оперативно заблокировать скомпрометированную банковскую карту. В конце того же года злоумышленники снова обновили опасную программу – новая версия использовала для взлома устройства компонент TeamViewer QuickSupport.

В марте текущего года специалисты Symantec обнаружили очередную версию вируса. Работает утилита по стандартной схеме: поверх официальной банковской программы накладывается форма ввода логина и пароля, введенные данные передаются на внешний сервер. Однако новая версия теперь способна не просто блокировать звонки в банк, а переводить их злоумышленникам, которые играют роль представителей банка.

Номера, на которые необходимо переадресовать пользователя, изначально прописаны в файле конфигурации. Более того, преступники теперь имеют возможность сами позвонить потенциальной жертве и представиться сотрудником соответствующего банка. В параметрах вредоносной программы присутствуют опции, которые позволяют подменить номер входящего звонка – на экране отобразится номер банка. Таким образом, при помощи простых приемов социальной инженерии злоумышленник может получить от пользователя практически любую конфиденциальную информацию.

Эксперты отметили, что новая версия банковского вируса пока активна только на территории Южной Кореи. Распространяется утилита через неофициальные каталоги и социальные сети. На момент публикации доклада обнаружено уже 22 программы, инфицированные новой версией FakeBank.