Троянцы семейства Android.BankBot получили широкую известность в начале апреля 2015 года, когда МВД России сообщило о задержании киберпреступников, использовавших несколько модификаций этих вредоносных приложений при реализации атак на клиентов ряда российских и иностранных кредитных организаций. Несмотря на то, что деятельность этих злоумышленников была пресечена, распространение данных троянцев другими вирусописателями продолжилось, о чем свидетельствует появление очередных модификаций банкеров.
Так, совсем недавно вирусные аналитики компании «Доктор Веб» обнаружили несколько подобных троянцев, среди которых – Android.BankBot.43 и Android.BankBot.45. Они распространяются под видом легального ПО, такого как игры, медиаплееры или обновления операционной системы, и благодаря применению злоумышленниками различных методов социальной инженерии устанавливаются на Android-смартфоны и планшеты самими же пользователями.
Запустившись в зараженной системе, троянцы Android.BankBot пытаются получить доступ к функциям администратора мобильного устройства, которые дают им расширенные возможности, включая способность препятствовать их удалению. После получения необходимых полномочий данные троянцы устанавливают связь с управляющим сервером и ожидают поступления дальнейших указаний. В частности, они способны позвонить на указанный в команде номер; использовать для связи с управляющим сервером полученный в команде веб-адрес; выполнить указанный в команде USSD-запрос; отправить на сервер все входящие и исходящие SMS; выполнить сброс настроек устройства с удалением всех данных пользователя и так далее.
