Эксперты компании Fortinet обнаружили новый вирус для платформы Android, занесенный в базы как Android/Banker.GT!tr. В настоящее время вредоносная программа атакует только пользователей 15 разных приложений для мобильного банкинга и только в Германии. Однако программный код вируса позволяет владельцам редактировать списки атакуемых приложений, отправляя инструкции с C&C-сервера.
Первоначально Banker выдает себя за почтовый клиент. Если троянской программе удается заставить пользователя предоставить ей права администратора, иконка «почтовой программы» удаляется, но приложение продолжает функционировать в фоновом режиме. Вирус также запрашивает у пользователя разрешение на доступ к контактам, статусу устройства, SMS-сообщениям, настройкам, осуществление звонков и так далее.

После инсталляции утилита автоматически запускает в системе три новых сервиса: FDService, GPService2 и AdminRightsServic. Компонент GPService2 отслеживает все активные процессы, а также вмешивается в работу банковских программ, накладывая на интерфейс поддельные элементы. Для каждого банк-клиента используются собственные шаблоны, что позволяет создавать точные копии графического интерфейса.

GPService2 также используется для обнаружения и блокировки антивирусного ПО. Среди программ, которые вирус успешно блокирует, присутствуют такие популярные инструменты, как avg.antivirus, com.piriform.ccleaner, com.symantec.mobilesecurity и com.drweb.

Модуль FDService также отслеживает все запущенные процессы, но нацелен на конкретные программы. Специалисты выяснили, что главные его цели – популярные социальные сети и банковское ПО, неохваченное GPService2. Также FDService способен накладывать поддельные графические элементы на окно Google Play, что позволяет похитить информацию о банковской карте.

Модуль AdminRightsService, как следует из названия, создан для выдачи запроса на получение прав администратора. Запросвыдается при первом запуске вредоносной программы.

Удалить вредоносное ПО довольно сложно. Специалисты рекомендуют в первую очередь отозвать права администратора (через настройки), после чего воспользоваться инструментом Android Debug Bridge и инструкцией adb uninstall.