ESET попереджає про повернення мобільного трояна BankBot

Експерти ESET знову виявили в Google Play мобільний банківський троян BankBot, що ховається під виглядом легітимного додатки. Шкідлива програма набула нові функції і тепер маскує активність під службові повідомлення Google.

BankBot призначений для збору логінів і паролів від мобільних додатків банків. Експерти ESET вперше розповіли про цю загрозу на початку 2017 року. Протягом півроку зловмисники допрацьовували троян, додавши поліпшену обфускація коду і складний механізм зараження, який використовує службу спеціальних можливостей Android Accessibility Service.

Нова версія BankBot проникла в Google Play у вересні під виглядом гри Jewels Star Classic. Фахівці ESET повідомили про інцидент в Google, але додаток встигли встановити приблизно 5000 користувачів перш, ніж воно було видалено.

Коли користувач завантажує Jewels Star Classic, на його пристрої виявляється не тільки гра, але й шкідливі компоненти. Через 20 хвилин після першого запуску програми на пристрій сповіщає Вас з пропозицією активувати службу Google Service в меню спеціальних можливостей Android.

Активувавши службу, користувач надасть шкідливій програмі повну свободу дій на пристрої. Отримавши доступ до спеціальних Android, малваре виконує наступні завдання:

  • дозволяє установку додатків з невідомих джерел;
  • встановлює компонент мобільного Банкера BankBot і запускає його;
  • активує права адміністратора для BankBot;
  • встановлює BankBot як додаток для обміну SMS за умовчанням;
  • отримує дозвіл для показу свого екрану поверх інших додатків.

Далі малваре починає працювати над крадіжкою даних банківських карт жертви. На відміну від колишніх версій BankBot, які імітують форми введення логіна і пароля додатків мобільного банкінгу, нова спеціалізується на Google Play – додатку, передбаченому на кожному Android-пристрої.

Коли користувач запускає Google Play, BankBot перекриває екран легітимного додатки фейковий формою введення банківських даних і вимагає підтвердити правильність збереженої інформації. Дані будуть відправлені атакуючим.

Оскільки BankBot вже встановлений в якості додатку для обміну повідомленнями, далі малваре перехопить всі SMS, що проходять через заражене пристрій, що дозволить атакуючим обійти двухфакторную аутентифікацію банку.

Для профілактики зараження ESET рекомендує ретельно перевіряти додатки до скачування, звертати увагу на запити дозволів і використовувати надійний продукт для захисту мобільних пристроїв.

Ссылка на основную публикацию