Специалисты в сфере кибербезопасности предупредили о новой кампании по распространению мобильного банковского трояна BankBot в Google Play.
Об этом сообщает компания ESET, которая занимается кибербезопасностью.
Новые способы распространения вируса были обнаружены в октябре-ноябре 2017 года – тогда злоумышленники разместили в Google Play приложения для скрытой загрузки вируса на устройства пользователей. Сначла в Google Play появились приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносными функциями. Далее – приложения для игры в пасьянс и софт для очистки памяти устройства.
После первого запуска загрузчик сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Потом через два часа после активации прав начинается загрузка мобильного трояна BankBot – его установочный пакет замаскирован под обновление Google Play.
Следует подчеркнуть, что загрузка вируса возможна только в том случае, если на устройстве пользователя разрешена установка приложений из неизвестных источников. Если такая опция не предусмотрена, то на экране появится сервисное сообщение об ошибке, и атака будет заблокирована.
Загруженный вирус действует типичным образом: когда пользователь открывает приложение для мобильного банкинга, приложение запускает поддельную форму ввода логина и пароля, а полученные данные отправляет злоумышленникам.
Исследователи пишут, что все обнаруженные загрузчики скачивают одну и ту же версию BankBot с hxxp://138.201.166.31/kjsdf.tmp.
В июле эксперты Trend Micro обнаружили новое вредоносное программное обеспечение, которое ориентировано на владельцев компьютеров Apple.