Android/Spy.Agent.SI - Android-троян, обходящий двухфакторную аутентификацию


Android/Spy.Agent.SI (ESET) - троян для Android-устройств, похищающий банковские данные в обход двухфакторной аутентификации.

Распространяется Android/Spy.Agent.SI под видом мобильного приложения Flash Player. Загрузившись на устройство жертвы, троян запрашивает доступ к функциям администратора, обеспечивая тем самым себе защиту от удаления.

Каждые 25 секунд троян передает на удаленный сервер информацию об устройстве, включая:

  • название модели;
  • IMEI;
  • язык;
  • данные об активации прав администратора.


Затем осуществляет поиск банковских мобильных приложений в памяти устройства.

После того, как искомое было обнаружено, троян загружает с удаленного сервера поддельные экраны ввода логина и пароля. При запуске жертвой банковского приложения, на экране устройства всплывает фальшивый экран, блокируя легитимный до ввода логина и пароля мобильного банка.

Все введенные в фальшивую форму данные отправляются на удаленный сервер. Используя их, злоумышленники без проблем могут войти в аккаунт жертвы и украсть деньги со счета. Троян открывает доступ к SMS-сообщениям на инфицированном устройстве, позволяя перехватывать сообщения от банка и удалять их, не вызывая подозрений владельца.

Троян Android/Spy.Agent.SI эффективно скрывает свое присутствие в системе.

На сегодняшний день данное вредоносное ПО ориентировано на 20 крупнейших банков:

  • Австралии;
  • Новой Зеландии;
  • Турции.


Ожидается, что в скором времени троян будет ориентирован на финансовые организации других стран.

AndroidSpy.Agent.SI poddelnie ekrani vvoda log pass banking
Поддельные экраны ввода логина и пароля мобильного банка