Эксперты ESET обнаружили мобильного вредоноса Android/Spy.Agent.SI, который похищает учетные данные банковских аккаунтов и аккаунтов Google. Малварь при этом выдает себя за Flash Player для Android, разработка которого была прекращена еще в 2012 году.

Компания Adobe отказалась от разработки Flash Player еще в середине 2012 года. Тогда компания сообщила, что последняя выпущенная версия не будет поддерживать Android выше 4.0.x, и вообще порекомендовала пользователям более свежих версий ОС удалить Flash Player со своих устройств, так как приложение будет работать нестабильно. Но, очевидно, об этом знают далеко не все.

Android/Spy.Agent.SI рекламируется и распространяется под видом Flash Player для Android, чтобы обманом заставить пользователя установить на устройство опасный APK. После загрузки приложение запрашивает привилегии администратора, получение которых усложнит впоследствии процесс удаления малвари, а также гарантирует ей успешность атаки.

После установки вредонос ведет себя так же, как и большинство банковских троянов в наши дни – собирает исчерпывающую информацию о зараженном устройстве и отправляет ее на командный сервер. При этом малварь использует обфускацию и шифрование.

В ответ операторы отдают вредоносу команду, указывая, в какие именно приложения он должен внедрить фальшивые страницы логина. Поддельная форма ввода данных размещается поверх окна настоящего приложения, похищает учетные данные, введенные пользователем, и отсылает их на управляющий сервер. На тот случай, если пользователь использует двухфакторную аутентификацию, малварь может перехватывать SMS-сообщения. Особенно «приятно», что передачу украденных данных троян не шифрует, поэтому информация передается в виде открытого текста.

Специалисты ESET пишут, что на данный момент Android/Spy.Agent.SI преимущественно атакует приложения банков Австралии, Новой Зеландии и Турции.

На сайте компании опубликована подробная инструкция по удалению трояна, а также список сайтов, которые распространяют этот «Adobe Flash» для Android.