Эксперты Cyfirma обнаружили вредоносную программу для Android под названием RuTaxi. Анализ показал, что её разработчики ориентировались в первую очередь на пользователей из России. Программа не ограничивается попытками кражи денег через банковские приложения. Она превращает смартфон в устройство, за которым злоумышленники могут наблюдать удалённо почти в реальном времени.
Специалисты нашли маскировку под обычные сервисные приложения. В некоторых версиях используется название RuTaxi, что создаёт впечатление легального продукта. Архитектура программы показывает, что её поведение настроено на работу с российскими устройствами и популярными местными сервисами. Главная особенность вредоноса — сочетание банковских инструментов кражи средств и функций наблюдения за пользователем. Оператор может видеть происходящее на экране смартфона. Для этого используются системные возможности Android, например Accessibility API и технология MediaProjection. Передача изображения происходит через WebSocket, поэтому злоумышленник получает поток данных с экрана.
Программа также перехватывает ввод кода разблокировки, фиксирует нажатия клавиш и собирает сведения о действиях пользователя. Вредонос формирует набор данных, где указываются приложение, текст действия и время события.
Отдельный механизм связан с SMS. Программа пытается стать приложением для сообщений по умолчанию. После этого она получает доступ к входящим SMS и может перехватывать одноразовые коды подтверждения, скрывать уведомления и удалять сообщения. Это позволяет обходить защиту банковских сервисов. Разработчики спрятали значительную часть логики программы в нативной библиотеке sysruntime.so. По данным Cyfirma, внутри неё находятся идентификатор заражённого устройства, список серверов управления и другие служебные данные. Адрес управляющего сервера формируется только во время запуска программы.
Вредонос также пытается закрепиться в системе. Он старается сохранять работу после перезапуска смартфона, потери сети или попытки пользователя остановить приложение.
Программа проверяет список установленных приложений и ищет сервисы популярных банков. Среди обнаруженных целей — Сбербанк, Т-Банк, ВТБ и Альфа-Банк. Также интерес представляют криптосервисы Binance и MetaMask.