В период с августа по октябрь 2018 года троян Rotexy атаковал более 70 тысяч устройств под управлением Android, став самым активным представителем категории банковских троянов, констатируют исследователи «Лаборатории Касперского». При этом 98% от общего числа совершенных атак приходятся на пользователей из России, которых разработчики Rotexy, очевидно, сочли наиболее легкими жертвами, в меньшей степени способными оказать ему сопротивление.

Rotexy распространяется под видом приложений для доступа к торговым площадкам вроде «Юла» или «Авито» посредством ресурсов youla9d6h.tk, prodam8n9.tk, prodamfkx.tk, avitoe0ys.tk и им подобных. Вероятно, злоумышленники выбрали сайты объявлений в качестве прикрытия из-за их высокой посещаемости и естественного желания большинства пользователей что-нибудь продать или выгодно купить.

Как действует Rotexy

Попадая на устройство, троян проверяет, не запущен ли он на эмуляторе, после чего определяет местоположение, которое не должно выходить за пределы России. В случае несовпадения одного из этих показателей, троян остановит процесс укоренения, а на экране появится так называемая «заглушка», имитирующая инициализацию компонентов. Но если все идет по заложенному разработчиками сценарию, Rotexy запрашивает права администратора и получает доступ к основным функциям смартфона.

После получения необходимых привилегий троян скроет свою пиктограмму и будет дожидаться запуска банковского приложения, чтобы подменить экран авторизации фишинговой страницей. Как следствие — мошенники получают доступ к банковскому счету своей жертвы и вычищают его под ноль. Но иногда Rotexy ведет себя и как вымогатель. Как правило, это происходит, если на устройстве нет банковских приложений. В этом случае троян блокирует экран зараженного аппарата и требует заплатить штраф за незаконный просмотр порно.

Обсудить эту и другие новости Android можно в нашем Telegram-чате.