Эксперты вновь обнаружили в Google Play мобильный банковский троян BankBot, скрывающийся под видом легитимного приложения. Вредоносная программа приобрела новые функции и теперь маскирует активность под служебные сообщения Google, сообщили в пресс-службе ESET.
«Новая версия BankBot проникла в Google Play в сентябре под видом игры Jewels Star Classic. Специалисты ESET сообщили об инциденте в Google, но приложение успели установить примерно 5 тыс. пользователей прежде, чем оно было удалено. Когда пользователь скачивает Jewels Star Classic, на его устройстве оказывается не только игра, но и вредоносные компоненты. Через 20 минут после первого запуска приложения на экране устройства появляется сообщение с предложением активировать службу Google Service в меню специальных возможностей Android», — говорится в релизе.
Программа разрешает установку приложений из неизвестных источников, активирует права администратора для BankBot и устанавливает BankBot в качестве приложения для обмена СМС по умолчанию, получает разрешение для показа своего экрана поверх других приложений. После чего программа начинает работать над кражей банковских карт владельца устройства.
«Когда пользователь запускает Google Play, BankBot перекрывает экран легитимного приложения фейковой формой ввода банковских данных и требует подтвердить правильность сохраненной информации. Данные будут отправлены атакующим. Поскольку BankBot уже установлен в качестве приложения для обмена сообщениями, далее малварь (вирус. — Прим. ред.) перехватит все СМС, проходящие через зараженное устройство, что позволит атакующим обойти двухфакторную аутентификацию банка», — отметили в ESET.
Аналитики рекомендует тщательно проверять приложения до скачивания, обращать внимание на запросы разрешений и использовать надежный продукт для защиты мобильных устройств.
