Kenkėjiškų programų maskuotė kaip sistemos paslaugos – paplitęs sukčių būdas. „Android“ atveju kenkėjišką programinę įrangą dažnai bandoma pateikti kaip gamyklines sistemines programėles, tokias kaip „Nustatymai“ ir „Žibintuvėlis“. Tačiau naujo viruso autoriai žengė toliau, imituodami ne tik sistemos „Google Wallet“ vaizdą, bet ir daugelio naudojamos teisėtos sąsajos tarp internetinių paslaugų ir banko kortelės.
„Trojos“ virusas plinta kaip SMS šlamštlaiškiai su pasiūlymu įdiegti „Google Play“ atnaujinimą, o paleistas iškart užklausia administratoriaus teisių, blokuodamas darbo su įrenginiu galimybes, kol jas gauna. Gavusi teises kenkėjiška programa atvaizduoja langą su reikalavimu įrašyti banko kortelės rekvizitus tariamam autorizavimui „Google Wallet“ sistemoje.
Vartotojo įrašyta kortelės informacija tikrinama, kad atitiktų BIN (angl. Bank Identification Number) formatą ir priklausytų pakankamai dideliam mokėjimo sistemos sąrašui. Tik gavęs teisingus duomenis, „Trojos“ virusas užverčia langus ir surinktus duomenis išsiunčia į sukčių serverį.
Tačiau tai ne pabaiga – išoriškai nematoma kenkėjiška programa tęsia darbą mobiliajame įrenginyje ir renka informaciją apie jo savininką, o pirmąjį darbo etapą gautos įrenginio administratoriaus teisės leidžia virusui įsišaknyti sistemoje.
„Ypatingas viruso pavojus tas, kad jo autoriai taiko gana įtikinamą socialinės inžinerijos būdą – užklausia banko kortelės rekvizitų, žadėdami sulaikyti nedidelę sumą sąskaitai patikrinti. Ant šio kabliuko gali pakibti net patyrę vartotojai: jie žino nemažai teisėtų internetinių paslaugų, taikančių panašius mechanizmus asmenybei patvirtinti.
Atpažinti „Trojos“ virusą galima pagal spaudimą, kuriuo jis reikalauja finansinių rekvizitų, o dar paprasčiau – pagal apsaugos sprendimo „Internet Security“ klasės pranešimą, kuris atmeta viruso paleidimo galimybę ir iš sistemos pašalina kenkėjišką programą“, – komentuoja Deividas Emas, „Kaspersky Lab“ vyriausiasis regiono ekspertas Didžiojoje Britanijoje.
