Вторник, Январь 23Полезные советы и секреты в мире IT и создание сайтов, а так же новости.

Мобильный банковский троян BankBot маскировался в Google Play под игры, “фонарики” и софт для очистки памяти

Специалисты компании ESET предупредили владельцев Android-смартфонов о новой кампании по распространению мобильного банковского трояна BankBot в Google Play. На первом этапе злоумышенники опубликовали в магазине контента приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносными функциями, на втором – приложения для игры в пасьянс и софт для очистки памяти устройства.

Специалисты компании ESET предупредили владельцев Android-смартфонов о новой кампании по распространению мобильного банковского трояна BankBot в Google Play. На первом этапе злоумышенники опубликовали в магазине контента приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносными функциями, на втором – приложения для игры в пасьянс и софт для очистки памяти устройства.  После первого запуска загрузчик сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Далее, через два часа после активации прав, стартует загрузка мобильного трояна BankBot – его установочный пакет замаскирован под обновление Google Play.  Все обнаруженные загрузчики скачивают одну и ту же версию BankBot с адреса hxxp://138.201.166.31/kjsdf.tmp. Загрузка возможна только в том случае, если на устройстве пользователя разрешена установка приложений из неизвестных источников. Если эта опция не включена, на экране появится сообщение об ошибке и атака не сможет быть продолжена.

После первого запуска загрузчик сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Далее, через два часа после активации прав, стартует загрузка мобильного трояна BankBot – его установочный пакет замаскирован под обновление Google Play.

Все обнаруженные загрузчики скачивают одну и ту же версию BankBot с адреса hxxp://138.201.166.31/kjsdf.tmp. Загрузка возможна только в том случае, если на устройстве пользователя разрешена установка приложений из неизвестных источников. Если эта опция не включена, на экране появится сообщение об ошибке и атака не сможет быть продолжена.

После установки BankBot действует типичным для мобильных банкеров образом – когда пользователь открывает целевое банковское приложение, троян подгружает поддельную форму ввода логина и пароля. Введенные данные будут отправлены злоумышленникам и использованы для несанкционированного доступа к банковскому счету жертвы.

После установки BankBot действует типичным для мобильных банкеров образом – когда пользователь открывает целевое банковское приложение, троян подгружает поддельную форму ввода логина и пароля. Введенные данные будут отправлены злоумышленникам и использованы для несанкционированного доступа к банковскому счету жертвы.

Отметим, что на протяжении всего 2017 года специалисты ESET находили в Google Play вредоносные приложения, замаскированные под легитимные. Например, в феврале мобильные банкеры предлагались под видом погодных приложений, а в сентябре – под видом игры Jewels Star Classic. Новая волна с играми, “фонариками” и софтом для очистки памяти пришлась на октябрь-ноябрь. Как правило, такие подделки удаляют в течение нескольких дней, но за это время они успевают заразить тысячи пользовательских устройств.

Источник: ESET

Добавить комментарий

%d такие блоггеры, как: