Впервые банковский троян Fakebank был обнаружен еще в 2013 году. Тогда ИБ-специалисты писали, что малварь маскируется под легитимное приложение Android, тогда как на самом деле, регистрирует себя как системный сервис, запрашивает с сервера злоумышленников файл конфигурации и устанавливает на устройство вредоносное APK.
После этого новые версии Fakebank появлялись неоднократно. К примеру, в середине 2016 года специалисты компании Symantec предупредили, что обновренный Fakebank не дает своим жертвам связаться со службой поддержки некоторых российских и южнокорейских банков, тем самым мешая пострадавшему заблокировать скомпрометированную карту. А в конце 2016 года экспертами Trend Micro была найдена еще одна версия трояна, использовавшая TeamViewer QuickSupport для компрометации устройства жертвы.
Номера, на которые малварь незаметно переключает пользователей, хранятся в ее файле конфигурации. Хуже того, злоумышленники могут и сами позвонить жертве, выдав себя за представителей банка. Для этого в настройках банкера тоже есть соответствующие опции, гарантирующие, что на телефоне пострадавшего номер преступников определится как номер телефона банка. Дальше, как не трудно представить, в ход идет социальная инженерия. В ходе беседы с такими «сотрудниками технической поддержки» ничего не подозревающий пользователь может предоставить практически любую конфиденциальную информацию о себе.
Эксперты Symantec пишут, что пока новая вариация банковского трояна активна только в Южной Корее, где распространяется через сторонние магазины приложений и социальные сети. Исследователи обнаружили уже 22 приложения, зараженные этой версией FakeBank.