Android/Spy.Agent.AF шпионит за пользователями мобильных устройств


Android/Spy.Agent.AF (ESET) - шпионское ПО, представляющее iBanking, замаскированное под мобильное приложение Facebook, и которое направлено на пользователей Android-устройств.

Распространяется приложение следующим образом. При входе в аккаунт на Facebook пользователю демонстрируется на экране окно установки бота iBanking под видом "мобильного приложения Facebook". Если пользователь выполнит указания приложения, то произойдет загрузка вредоносного ПО - Android/Spy.Agent.AF.

Okno ustanovki iBanking
Окно установки iBanking, замаскированного под мобильное приложение Facebook

Веб-инъекция, именно такое наименование получил данный метод установки вредоносного ПО, достаточно распространен, однако ранее он использовался лишь для компрометации онлайн-банкинга. Теперь его решили применить против невнимательных или новых пользователей Facebook, которые не в состоянии отличить от подделки настоящее мобильное приложение и систему двухфакторной аутентификации.

После заражения мобильного устройства, iBanking обеспечивает злоумышленникам широкие возможности слежки за пользователем. Так среди функций бота:

  • переадресация входящих вызовов на заданный номер;
  • отправка SMS на любой номер без ведома владельца устройства;
  • захват входящих и исходящих SMS;
  • кража списка контактов;
  • захват аудиоконтента с помощью микрофона устройства и др.


Подобное шпионское ПО чаще всего применяется для кражи данных, необходимых для онлайн-платежей.

iBanking обладает более сложным функционалом, нежели ранее обнаруженные мобильные вредоносные программы. Он может использоваться в сочетании с любым ПО, внедряющим вредоносный код в веб-страницу и заинтересованным в обходе двухфакторной аутентификации.