29-11-2017 17:20

Замаскированный под обновление Google Play вирус ворует пароли от банковских карточек

Обнаружены новые способы распространения мобильного банкера BankBot в Google Play.

Об этом сообщает компания ESET.

В Google Play было размещено приложение, которое осуществляет скрытую загрузку трояна на устройства пользователей.

На первом этапе в Google Play появились приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносными функциями, на втором – приложения для игры в пасьянс и софт для очистки памяти устройства.

После первого запуска загрузчик сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства.

После этого начинается загрузка мобильного трояна BankBot, установочный пакет которого замаскирован под обновление Google Play.

Все обнаруженные загрузчики скачивают одну и ту же версию BankBot с hxxp://138.201.166.31/kjsdf.tmp.

Хакерская атака на компьютеры в 31 стране: следы ведут в РФ

После установки BankBot действует так: когда пользователь открывает целевое банковское приложение, троян подгружает поддельную форму ввода логина и пароля, а введенные данные передаются злоумышленникам, которые таким образом получают доступ к банковскому счету жертвы.

При этом компания ESET обращает внимание пользователей на то, что загрузка вируса возможна только в том случае, если на устройстве пользователя разрешена установка приложений из неизвестных источников.

При отключенной этой опции на экране появится сообщение об ошибке.

Тем временем киберполиция Украины выявила новый вирус-вымогатель под названием Scarab.