В Google Play обнаружен опасный банковский троян

В Google Play обнаружена кампания по распространению мобильного банковского трояна BankBot, сообщает ESET.

Отмечается, что новые способы распространения вируса были обнаружены в октябре-ноябре 2017 года, тогда злоумышленники разместили в Google Play приложения для скрытой загрузки вируса на устройства пользователей. На первом этапе кампании в Google Play появились приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносными функциями. На втором этапе – приложения для игры в пасьянс и софт для очистки памяти устройства.

После первого запуска загрузчик сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Далее, через два часа после активации прав, стартует загрузка мобильного трояна BankBot – его установочный пакет замаскирован под обновление Google Play.

Стоит отметить, что загрузка вируса возможна только в том случае, если на устройстве пользователя разрешена установка приложений из неизвестных источников. Если эта опция не включена, на экране появится сообщение об ошибке и атака не сможет быть продолжена.

После загрузки вирус действует типичным для программ такого типа образом: когда пользователь открывает приложение для мобильного банкинга, приложение запускает поддельную форму ввода логина и пароля, а полученные данные отправляет злоумышленникам.

Напомним, что 24 октября хакерской атаке подверглись сети Одесского аэропорта, Киевского метрополитена, а также Министерства инфраструктуры Украины. В России пострадали агентство "Интерфакс" и интернет-газеты "Фонтанка" и "Новая газета".

СБУ утверждает, что блокировала дальнейшее распространение вируса в украинском сегменте интернета.