Android.ZBot là loại trojan có khả năng đánh cắp thông tin đăng nhập, mật khẩu và các dữ liệu bí mật khác bằng cách hiển thị form xác thực lừa người dùng ngay trên đầu trang của bất kỳ ứng dụng nào chạy trên thiết bị.
Theo các chuyên gia an ninh Dr.Web, các thiết bị lây nhiễm Android.ZBot được nhóm lại thành mạng lướt botnet (mạng lưới các thiết bị bị kiểm soát tập trung bởi tội phạm mạng).
Biến thể đầu tiên của Android.ZBot đã bị phát hiện vào tháng 2/2015 tại Nga và được các chuyên gia an ninh Dr.Web đặt tên là Android.ZBot.1.origin.
Loại Trojan này cải trangnhư một ứng dụng lành tính (trong trường hợp này là các ứng dụng trên Google Play) mà người dùng có thể tải về khi truy cập vào các web lừa đảo, bị hack hoặc từ ứng dụng độc hại khác cho phép tải chúng về thiết bị.
Một khi Trojan banking này được cài đặt và khởi chạy sẽ yêu cầu người sử dụng cấp quyền quản trị. Nếu các đặc quyền được cấp thành công, Trojan sẽ hiển thị một thông báo lỗi và yêu cầu người dùng phải khởi động lại thiết bị.
Trong trường hợp người dùng từ chối cấp những đặc quyền cần thiết, Android.ZBot.1.origin ngay lập tức cố gắng đánh cắp các thông tin chi tiết về thẻ ngân hàng của nạn nhân bao gồm số thẻ, ngày hết hạn, CVV (mã bảo mật thanh toán trực tuyến) và tên chủ thẻ.
Để làm được điều đó, Trojan sẽ hiển thị một hộp thoại giả mô phỏng form nhập liệu đầu vào hợp pháp của ứng dụng Google Play.
Khi đó Android.ZBot.1.origin loại bỏ biểu tượng (icon) của nó từ màn hình chủ để 'ẩn mình' trước người dùng và bắt đầu hoạt động kiểm soát tất cả các sự kiện hệ thống, sẽ tự động chạy sau khi các tiện ích được bật.
Sau khi chương trình độc hại có quyền kiểm soát, trojan này sẽ kết nối đến nốt mạng (node) từ xa nhận lệnh hướng dẫn của tội phạm mạng và đăng ký các tiện ích bị chúng xâm nhập. Tùy thuộc vào lệnh nhận được từ máy chủ kiểm soát (C&C Server), Trojan banking này vận hành gửi SMS với nội dung đặc thù đến một số ấn định, thực hiện cuộc gọi, gửi tin nhắn đến tất cả các địa chỉ liên lạc trong danh bạ nạn nhân, chặn tin nhắn SMS, theo dõi vị trí GPS…
Phía Dr.Web khuyến cáo, để hạn chế bị Android.ZBot.1.origin tấn công, người dùng Android chỉ tải ứng dụng từ các nguồn thực sự tin cậy, không cài đặt các chương trình đáng ngờ.