Після установки шкідливий запускає в системі три сервісу: GPService2, FDService і AdminRightsService. Сервіс GPService2 моніторить всі запущені на пристрої процеси, а також здійснює атаки на банківські додатки, виводячи поверх екрану легітимною програми фішингових оверлей. Banker.GT має власні шаблони для додатків кожного банку, щоб користувач точно нічого не запідозрив. Також сервіс зв'язується з керуючим сервером для отримання різних пейлоадов для додатків різних банків.
Більш того, GPService2 використовується і для виявлення антивірусних програм. Малваре не просто обходить захисні механізми, але не дає їм запускатися і працювати. Повний список програм, які блокує Banker.GT:
- com.qihoo.security
com.antivirus
com.thegoldengoodapps.phone_cleaning_virus_free.cleaner.booster
com.antivirus.tabletcom.nqmobile.antivirus20
com.kms.free
com.drweb
com.trustlook.antivirus
com.eset.ems2.gp
com.eset.ems.gp
com.symantec.mobilesecurity
com.duapps.antivirus
com.piriform.ccleaner
com.cleanmaster.mguard
com.cleanmaster.security
com.sonyericsson.mtp.extension.factoryreset
com.anhlt.antiviruspro
com.cleanmaster.sdk
com.qihoo.security.lite
oem.antivirus
com.netqin.antivirus
droiddudes.best.anitvirus
com.bitdefender.antivirus
com.dianxinos.optimizer.duplay
com.cleanmaster.mguard_x8
com.womboidsystems.antivirus.security.android
com.nqmobile.antivirus20.clarobr
com.referplish.VirusRemovalForAndroid
com.cleanmaster.boost
com.zrgiu.antivirus
avg.antivirus
Компонент AdminRightsService, як не важко здогадатися по його назві, створений, щоб пристрій запитував привілеїв адміністратора, під час першого запуску малварі.
Позбутися від малварі не дуже просто. Дослідники рекомендують спочатку відкликати права адміністратора (Settings -> Security -> Device administrators -> Device Admin -> Deactivate), а потім скористатися Android Debug Bridge і командою adb uninstall [packagename].
Поділися новиною з друзями: