Tomcat
Professional
- Messages
- 2,689
- Reaction score
- 913
- Points
- 113
Даже после стольких усилий Google по защите Play Store от вредоносного ПО теневым приложениям каким-то образом удалось обмануть его защиту от вредоносного ПО и заразить людей вредоносным программным обеспечением.
Команда исследователей из нескольких охранных фирм обнаружила две новые кампании вредоносного ПО, нацеленные на пользователей Google Play Store, одна из которых распространяет новую версию BankBot, семейства банковских троянов, имитирующих реальные банковские приложения с целью кражи учетных данных пользователей.
BankBot был разработан для отображения поддельных наложений на законные банковские приложения крупных банков по всему миру, включая Citibank, WellsFargo, Chase и DiBa, с целью кражи конфиденциальной информации, включая логины и данные кредитной карты.
Имея своей основной целью отображение поддельных оверлеев, BankBot способен выполнять широкий спектр задач, таких как отправка и перехват SMS-сообщений, совершение звонков, отслеживание зараженных устройств и кража контактов.
Ранее в этом году Google удалила по меньшей мере четыре предыдущие версии этого банковского трояна со своей официальной платформы Android App Store, но приложения BankBot всегда появлялись в Play Store, нацеливаясь на жертв из крупных банков по всему миру.
Вторая кампания, обнаруженная исследователями, распространяет не только тот же троян BankBot, что и первая, но также Mazar и Red Alert. Эта кампания была подробно описана в блоге ESET.
Согласно анализу, проведенному командой mobile threat intelligence в Avast в сотрудничестве с ESET и SfyLabs, последняя версия BankBot скрывалась в приложениях для Android, которые выдавали себя за предположительно заслуживающие доверия, невинно выглядящие приложения-фонарики.
Впервые обнаруженный исследователями 13 октября, вредоносный BankBot apps использует специальные методы для обхода автоматических проверок Google на обнаружение, такие как запуск вредоносных действий через 2 часа после того, как пользователь предоставил приложению права администратора устройства, и публикация приложений под разными именами разработчиков.
После обмана жертв с целью их загрузки вредоносные приложения проверяют наличие приложений, установленных на зараженном устройстве, по жестко заданному списку из 160 мобильных приложений.
По словам исследователей, в этот список входят приложения от Wells Fargo и Chase в США, Credit Agricole во Франции, Santander в Испании, Commerzbank в Германии и многих других финансовых учреждений со всего мира.
Обнаружив одно или несколько приложений на зараженном смартфоне, вредоносное ПО загружает и устанавливает BankBot APK со своего сервера управления на устройстве и пытается обманом заставить жертву предоставить ему права администратора, выдавая себя за Play Store или обновление системы, используя аналогичный значок и название пакета.
Получив права администратора, приложение BankBot отображает overlay поверх законных приложений всякий раз, когда жертвы запускают одно из приложений из списка вредоносного ПО и крадут любую банковскую информацию, которую жертва вводит в нем.
Лаборатория Avast Threat Labs также представила видеодемонстрацию тестирования этого механизма в приложении местного чешского Airbank. Вы можете увидеть, как приложение создает оверлей за миллисекунды и обманом заставляет пользователя передавать свои банковские реквизиты преступникам.
Поскольку многие банки используют методы двухфакторной аутентификации для безопасных транзакций, BankBot включает функциональность, которая позволяет ему перехватывать текстовые сообщения, позволяя преступникам, стоящим за BankBot, красть номер мобильной транзакции (mTAN), отправленный на телефон клиента, и переводить деньги на их счета.
Важно отметить, что механизм Android блокирует установку приложений за пределами Play Store. Даже если вы уже разрешили установку из неизвестных источников, Google по-прежнему требует, чтобы вы нажали кнопку для продолжения такой установки.
Последняя версия BankBot не использует эту функцию службы специальных возможностей из-за недавнего решения Google заблокировать эту функцию для всех приложений, за исключением тех, которые предназначены для предоставления услуг слепым.
Google уже удалил все недавно обнаруженные приложения BankBot после получения уведомления от исследователей.
Хотя это постоянная проблема, лучший способ защитить себя - всегда проявлять бдительность при загрузке приложений, даже из официального Play Store Google. Итак, всегда проверяйте разрешения приложения и отзывы перед загрузкой приложения из Google Play Store.
Несмотря на то, что приложения BankBot попали в Play Store, их полезная нагрузка была загружена из внешнего источника. Поэтому не разрешайте устанавливать на свой смартфон какие-либо неизвестные сторонние APK-файлы.
Для этого перейдите в "Настройки" → "Безопасность", а затем отключите "Разрешить установку приложений из источников, отличных от Play Store".
Самое главное, будьте осторожны, каким приложениям вы предоставляете права администратора, поскольку он мощный и может обеспечить полный контроль приложений над вашим устройством.
