ESET предупредил о новой кампании по распространению
мобильного банковского трояна BankBot в Google Play, который крал деньги с
банковских карт.
В октябре и ноябре 2017 года в ESET обнаружили новые
способы распространения мобильного банкера BankBot. Злоумышленники разместили в
Google Play приложения, предназначенные для скрытой загрузки трояна на
устройства пользователей, сообщили представители компании ESET.
На первом этапе кампании в Google Play появились
приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с
вредоносными функциями. На втором — приложения для игры в пасьянс и софт для
очистки памяти устройства.
После первого запуска загрузчик сверяет
установленные на устройстве программы с закодированным списком из 160
банковских мобильных приложений. Обнаружив одно или несколько совпадений, он
запрашивает права администратора устройства и загружает замаскированный под
обновление Google Play троян.
Загрузка возможна только в том случае, если на
устройстве пользователя разрешена установка приложений из неизвестных
источников. Если эта опция не включена, на экране появится сообщение об ошибке
и атака не сможет быть продолжена.
После установки BankBot действует типичным для
мобильных банкеров образом. Когда пользователь открывает целевое банковское
приложение, троян подгружает поддельную форму ввода логина и пароля. Введенные
данные будут отправлены злоумышленникам и использованы для несанкционированного
доступа к банковскому счету жертвы.
