15:19 - 28.11.2017
ESET предупреждает о новой кампании по распространению мобильного банковского трояна BankBot в Google Play.
На протяжении 2017 года специалисты ESET находили в Google Play вредоносные приложения, замаскированные под легитимные. Например, в феврале мобильные банкеры предлагались под видом погодных приложений, а в сентябре – под видом игры Jewels Star Classic. Как правило, такие подделки удаляют в течение нескольких дней, но за это время они успевают заразить тысячи пользовательских устройств.
В октябре и ноябре 2017 года в ESET обнаружили новые способы распространения мобильного банкера BankBot. Злоумышленники разместили в Google Play приложения, предназначенные для скрытой загрузки трояна на устройства пользователей.
На первом этапе кампании в Google Play появились приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносными функциями. На втором этапе – приложения для игры в пасьянс и софт для очистки памяти устройства.
После первого запуска загрузчик сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Далее, через два часа после активации прав, стартует загрузка мобильного трояна BankBot – его установочный пакет замаскирован под обновление Google Play.
Все обнаруженные загрузчики скачивают одну и ту же версию BankBot с hxxp://138.201.166.31/kjsdf.tmp. Загрузка возможна только в том случае, если на устройстве пользователя разрешена установка приложений из неизвестных источников. Если эта опция не включена, на экране появится сообщение об ошибке и атака не сможет быть продолжена.
После установки BankBot действует типичным для мобильных банкеров образом. Когда пользователь открывает целевое банковское приложение, троян подгружает поддельную форму ввода логина и пароля. Введенные данные будут отправлены злоумышленникам и использованы для несанкционированного доступа к банковскому счету жертвы.
Рекомендации ESET по профилактике заражения:
- загружать ПО только из Google Play, поскольку большинство вредоносных программ распространяется через сторонние площадки
- проверять отзывы пользователей и рейтинг приложения – вредоносные программы размещаются в магазине на протяжении непродолжительного времени и не успевают набрать много скачиваний
- отключить возможность установки приложений из неизвестных источников
обращайте внимание на запросы прав администратора устройства или активации службы специальных возможностей
- использовать надежное антивирусное ПО
Исследование вредоносной кампании совместно выполнили специалисты ESET, Avast и SfyLabs.
28 Mart 2024
28 Mart 2024
28 Mart 2024
28 Mart 2024
28 Mart 2024
28 Mart 2024
28 Mart 2024
28 Mart 2024
28 Mart 2024
28 Mart 2024
28 Mart 2024
28 Mart 2024
28 Mart 2024
28 Mart 2024
27 Mart 2024
27 Mart 2024
27 Mart 2024