Le logiciel malveillant qui vole les données bancaires confidentielles. Ses fonctionnalités sont similaires au Trojan Android.BankBot.20.origin. Le serveur de gestion se trouve à l'adresse : http://xxx.xxx.197.203:80 (actuellement indisponible).
Android.Banker.22.origin peut remplacer par des copies les applications bancaires suivantes :
- nh.smart
- com.shinhan.sbanking
- com.webcash.wooribank
- com.kbstar.kbbank
- com.hanabank.ebk.channel.android.hananbank
- com.epost.psf.sdsi
- com.ibk.neobanking
- com.smg.spbs
- com.kftc.citismb
- com.sc.danb.scbankapp
- com.areo.bs
Le Trojan peut les remplacer non seulement à la commande du serveur, mais aussi à la commande via SMS avec la structure suivante « b:bank_name », où «bank_name» est un paramètre qui correspond à l'application de la liste {«NH», «SH», «WO», «KB», «HA», «EP», «NE, «SP», «CT», «SC», «BS»}.
