Появилась новая малварь для Android, которая не атакует смартфоны в России

Специалисты из CSIS Security Group сообщили, что вредоносное приложение MazarBOT, которое до этого мелькало на закрытых российских форумах, впервые проявило себя в действии.

MazarBOT может получить полный контроль над Android-телефоном и нацелен на компрометацию данных онлайн-банкинга, если жертва пользуется таковыми. Сообщается, что в течение нескольких месяцев до этого, данный бот был выставлен на продажу на нескольких сайтах в даркнете, однако массовых заражений ранее зафиксировано не было.

Занятно, что если при установке на устройство MazarBOT замечает, что находится на территории России, то он прекращает своё выполнение. Предположительно, это сделано для избежания излишнего внимания со стороны местных властей.

Если же тест на расположение пройден успешно, то MazarBOT установит на телефон Tor для обмена данными, а затем отправит SMS-сообщение с текстом «Thank you» и прикреплёнными координатами устройства на некоторый номер с телефонным кодом Ирана.

Из остальных функций отмечается возможность удалённой отладки, установки бэкдоров для слежения за устройством жертвы, отправки SMS на любые номера, а также чтения и распознавания сообщений с кодами для двухфакторной авторизации. Последнее делает возможным обход защит приложений онлайн-банкинга, что и делает MazarBOT наиболее опасным для владельца заражённого смартфона.

Обнаружение антивирусами на момент распространения бота было на уровне 3/54, сейчас же, по данным VirusTotal, MazarBOT обнаруживают 11 из 54 популярных антивирусных программ.