Мобильный банковский троян BankBot, который ворует с зараженных устройств пароли мобильного банкинга, замаскировался под игры в Google Play.
«В октябре и ноябре 2017 ESET обнаружили новые способы распространения мобильного Банкера BankBot. Злоумышленники разместили в Google Play приложения, предназначенные для скрытого загрузки трояна на устройства пользователей. На первом этапе кампании в Google Play появились программы-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредными функциями. На втором этапе — приложения для игры в пасьянс и софт для очистки памяти устройства «, — предупреждают в компании.
Вирус орудует так: после первого запуска загрузчик сверяет установленные на устройстве программы по закодированным списком из 160 банковских мобильных приложений. Обнаружив одну или несколько совпадений, он спрашивает права администратора устройства. Далее, через 2:00 после активации прав стартует загрузки мобильного трояна BankBot — его установочный пакет замаскирован под обновление Google Play.
«Все обнаруженные загрузчики скачивают одну и ту же версию BankBot. Загрузка возможна только в том случае, если на устройстве пользователя разрешена установка приложений из неизвестных источников. Если эта опция не включена, на экране появится сообщение об ошибке и атака не сможет продолжаться «, — говорится в сообщении.
По словам компьютерщиков, после установки BankBot действует типичным для мобильных Банкер образом. Когда пользователь открывает целевой банковское приложение, троян загружает поддельную форму ввода логина и пароля.
«Введенные данные будут отправлены злоумышленникам и использованы для несанкционированного доступа к банковскому счету жертвы», — отмечают в ESET.