ITNews | ESET: возвращение мобильного трояна

ESET: возвращение мобильного трояна

ESET: возвращение мобильного троянаЭксперты ESET обнаружили в Google Play мобильный банковский троян BankBot, который маскируется под служебные сообщения Google. BankBot предназначен для сбора логинов и паролей от мобильных приложений банков.

Эксперты ESET впервые рассказали об этой угрозе в начале 2017 года. Новая версия BankBot попала в Google Play в сентябре под видом игры Jewels Star Classic. Об инциденте сообщили в Google, но приложение успели установить примерно 5000 пользователей прежде, чем оно было удалено.

ESET: возвращение мобильного трояна

ITNews | ESET: возвращение мобильного трояна

Схема работы проста: пользователь скачивает игру, вместе с которой на смартфон или планшет попадают и вредоносные компоненты. После первого запуска приложения, примерно через двадцать минут, на экране появляется сообщение, предлагающее активировать службу Google Service в меню специальных возможностей Android.

Если пользователь активирует службу, троян получает полную свободу действий:

  • разрешает установку приложений из неизвестных источников;
  • устанавливает компонент мобильного банкера BankBot и запускает его;
  • активирует права администратора для BankBot;
  • устанавливает BankBot в качестве приложения для обмена SMS по умолчанию;
  • получает разрешение для показа своего экрана поверх других приложений.

Далее начинается кража данных банковских карт жертвы. После запуска приложения Google Play, троян размещает поверх экрана легитимного приложения свою форму ввода банковских данных и просит подтвердить правильность сохранённой информации. После подтверждения данных они отправляются мошенникам.