Tordow — новый троян на Android, способный захватить любые данные

В феврале этого года специалисты из «Лаборатории Касперского» обнаружили новый троян, предназначенный для кражи информации относительно банковских систем — Tordow. Лишь недавно программисты опубликовали подробный отчет, полностью описывающий механизм работы этого вируса.

Пример добавленного вредоносного кода
во внутренние файлы приложения

Вредоносный код распространяется через измененные неоригинальные приложения, которые доступны в сети вне Google Play, вроде неофициальных клиентов «ВКонтакте», модов для популярных игр типа «Subway Surfers» или «Pokemon GO» и прочего. С виду зараженное приложение от «оригинального» не отличить, ведь оно выполняет все необходимые функции. После первого запуска вредоносная часть приложения без ведома пользователя скачивает бо́льшую часть Tоrdow, а также необходимые библиотеки для получения прав разработчика.

Пример полученной вирусом информации об аккаунте в браузере

Затем вирус устанавливает root-права в системную папку, что усложняет его удаление при обнаружении. Полученные возможности открывают доступ ко всем логинам и паролям, сохраненным в браузерах на мобильном устройстве. Помимо этого, права суперпользователя от Tоrdow позволяют управлять любой функцией в системе:

• отправлять, копировать в базу данных или удалять SMS-сообщения;
• записывать, перенаправлять или блокировать звонки;
• проверять баланс;
• осуществлять звонки;
• скачивать и открывать файлы;
• устанавливать и удалять приложения;
• блокировать устройство с выводом веб-страницы на экран, заданной злоумышленником;
• отправлять все файлы устройства в базу данных;
• перезагружать устройство.