В «Лаборатории Касперского» сообщили, что одним из наиболее активных банковских троянов для мобильных платформ в настоящее время является Rotexy. Только за период с августа по октябрь текущего года было зафиксировано более 70 тыс. атак на устройства пользователей, в 98% случаев в России.
Троян распространяется в виде AvitoPay.apk через сайты с названиями youla9d6h.tk, prodam8n9.tk, prodamfkz.ml, avitoe0ys.tk и им подобными. После загрузки на устройство жертвы Rotexy проверяет, не запущен ли он на эмуляторе, а также определяет страну, в которой находится устройство. Оказавшись на эмуляторе или смартфоне за пределами РФ, троян отображает «заглушку».
Если же проверка прошла успешно, Rotexy регистрируется в GCM и запускает сервис SuperService, который отслеживает наличие у трояна прав администратора устройства и собственное состояние, перезапускаясь в случае отключения. После получения необходимых привилегий троян скроет свою пиктограмму и будет дожидаться запуска банковского приложения, чтобы подменить экран авторизации фишинговой страницей. Далее мошенники получают доступ к банковскому счету своей жертвы и вычищают его под ноль. Однако иногда вредонос действует как вымогатель. Тогда он блокирует экран смартфона и отображает окно с требованием заплатить «штраф» якобы за просмотр запрещенного видео.
