Специалисты компании ESET предупредили владельцев Android-смартфонов о новой кампании по распространению мобильного банковского трояна BankBot в Google Play. На первом этапе злоумышенники опубликовали в магазине контента приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносными функциями, на втором – приложения для игры в пасьянс и софт для очистки памяти устройства.
После первого запуска загрузчик сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Далее, через два часа после активации прав, стартует загрузка мобильного трояна BankBot – его установочный пакет замаскирован под обновление Google Play.
Все обнаруженные загрузчики скачивают одну и ту же версию BankBot с адреса hxxp://138.201.166.31/kjsdf.tmp. Загрузка возможна только в том случае, если на устройстве пользователя разрешена установка приложений из неизвестных источников. Если эта опция не включена, на экране появится сообщение об ошибке и атака не сможет быть продолжена.
После установки BankBot действует типичным для мобильных банкеров образом — когда пользователь открывает целевое банковское приложение, троян подгружает поддельную форму ввода логина и пароля. Введенные данные будут отправлены злоумышленникам и использованы для несанкционированного доступа к банковскому счету жертвы.
Отметим, что на протяжении всего 2017 года специалисты ESET находили в Google Play вредоносные приложения, замаскированные под легитимные. Например, в феврале мобильные банкеры предлагались под видом погодных приложений, а в сентябре – под видом игры Jewels Star Classic. Новая волна с играми, «фонариками» и софтом для очистки памяти пришлась на октябрь-ноябрь. Как правило, такие подделки удаляют в течение нескольких дней, но за это время они успевают заразить тысячи пользовательских устройств.
Источник: ESET