Android.ZBot в вирусной библиотеке:

Семейство банковских троянцев, работающих на мобильных Android-устройствах и предназначенных для кражи логинов и паролей доступа к сервисам мобильного банкинга при помощи поддельных форм ввода, а также незаметного хищения денег с банковских счетов пользователей. Вредоносные программы Android.ZBot могут попасть на смартфоны и планшеты при посещении мошеннических или взломанных веб-сайтов, откуда троянцы загружаются под видом безобидных программ, либо скачиваются другим вредоносным ПО, которое ранее уже успело проникнуть на целевое устройство.

Основной функционал троянцев:

• отправка СМС с заданным текстом на указанный номер;
• выполнение телефонных звонков;
• отправка СМС по всем телефонным номерам из книги контактов;
• перехват входящих СМС;
• получение текущих GPS-координат;
• показ специально сформированных диалоговых окон поверх заданных приложений.

Для показа мошеннических (фишинговых) диалоговых окон банкеры семейства Android.ZBot получают с управляющего сервера список атакуемых программ, после чего с определенной периодичностью проверяют их активность. Как только одно из целевых приложений начинает работу, троянцы при помощи функции WebView формируют специальную форму ввода, содержимое которой «на лету» загружают с удаленного узла, и показывают ее поверх окна ранее запущенной программы. В большинстве случаев в данном окне у пользователя запрашивается логин и пароль от его учетной записи мобильного банкинга, которые после ввода передаются на сервер злоумышленников. При этом, если пользователь попытается закрыть мошенническую форму, троянцы Android.ZBot возвращают жертву на главный экран операционной системы, создавая иллюзию того, что запрос исходил от настоящего приложения.