Компания «Доктор Веб» обнаружила троянца Android.BankBot.149.origin еще в январе 2016 года.
После того как злоумышленники опубликовали исходный код этого банкера, вирусописатели создали на его основе множество новых модификаций, которые активно развиваются и по сей день. Некоторые из них превратились в многофункциональные вредоносные программы, способные красть логины и пароли от приложений для работы с криптовалютами, а также шпионить за пользователями.
На момент своего появления Android.BankBot.149.origin был банковским троянцем с типичным набором функций. Он показывал фишинговые окна, с помощью которых крал логины и пароли от учетных записей систем онлайн-банкинга различных кредитных организаций, похищал информацию о банковских картах, а также мог перехватывать входящие СМС, чтобы получить доступ к одноразовым паролям для подтверждения денежных переводов. Когда исходный код этого вредоносного приложения стал доступен всем желающим, вирусописатели начали создавать на его основе множество похожих троянцев. При этом злоумышленники активно распространяли их через каталог Google Play. Среди таких банкеров были Android.BankBot.179.origin, Android.BankBot.160.origin, Android.BankBot.163.origin, Android.BankBot.193.origin и Android.Banker.202.origin, которых вирусописатели маскировали под безобидные и полезные приложения.
Еще один троянец, при создании которого киберпреступники использовали опубликованный ранее код, был добавлен в вирусную базу Dr.Web как Android.BankBot.250.origin. Он также известен под именем Anubis. Вирусные аналитики «Доктор Веб» обнаружили первые версии этой вредоносной программы в ноябре 2017 года. Указанные модификации троянца практически полностью копировали возможности Android.BankBot.149.origin. Банкер мог выполнять следующие действия:
отправлять СМС с заданным текстом на указанный в команде номер;
выполнять USSD-запросы;
отсылать на управляющий сервер копии хранящихся на устройстве СМС;
получать информацию об установленных приложениях;
показывать диалоговые окна с заданным в команде текстом;
запрашивать дополнительные разрешения для работы;
демонстрировать push-уведомления, содержимое которых указывалось в команде;
показывать push-уведомление, содержимое которого задано в коде троянца;
блокировать экран устройства окном WebView, в котором демонстрировалось содержимое полученной от сервера веб-страницы;
передавать на сервер все номера из телефонной книги;
рассылать СМС по всем номерам из телефонной книги;
получать доступ к информации об устройстве и его местоположению;
запрашивать доступ к функциям специальных возможностей (Accessibility Service);
узнавать IP-адрес зараженного смартфона или планшета;
очищать свой конфигурационный файл и останавливать собственную работу.