Один из студентов, используя язык программирования Java и инструменты SDK, в течение нескольких лет разрабатывал и тестировал TrojanBot-приложение для скрытого удаленного управления пользовательскими данными, которые хранятся на мобильном устройстве Android. Вредоносное ПО имело несколько версий для маскировки под легальные Android-программы и распространения через интернет. В частности, приложение для поиска друзей в социальных сетях или для знакомств и свиданий.

После установки троян проверял наличие админправ (root) программ «мобильного банкинга», получал подробную информацию о номере телефона, IMEI, геолокации и других идентификаторах жертвы, настраивал перехват и скрытую отправку SMS-сообщений.

В коде содержался скрипт, который мониторил баланс и транзакции всех финансовых приложений устройства, собирал логины и пароли. Результаты работы TrojanBot каждый час отправлял на управляющий сервер злоумышленников.

Чтобы вредоносное ПО не было идентифицировано антивирусами для Android, второй студент модифицировал APK-файлы, чтобы скрыть сигнатуры кода скрытого удаленного управления пользовательскими данными. Также он снимал и настраивал частные виртуальные серверы для размещения ряда административных Bot-панелей.

Приложение распространяли через веб-форумы для пользователей Android. Таким образом студентам удалось инфицировать более шести тысяч устройств в Украине, США, странах Евросоюза и Азии. Следствие продолжается в рамках начатого уголовного производства по ч. 2 ст. 361-1 УК Украины, студентам грозит до пяти лет заключения.

Напомним, Киберполиция задержала предполагаемого организатора бот-сети Avalanche, нанесшей ущерб на сотни миллионов евро.