Компанія ESET попереджає про нову кампанію по поширенню мобільного банківського трояна BankBot в Google Play.
У жовтні й листопаді 2017 року ESET виявила нові способи розповсюдження мобільного банкера BankBot, повідомляється на сайті компанії.
Зловмисники розмістили в Google Play, додатки, призначені для прихованого завантаження трояна на пристрої користувачів.
На першому етапі кампанії в Google Play з'явилися програми-ліхтарики Tornado FlashLight, Lamp For DarkNess і Sea FlashLight із шкідливими функціями. На другому етапі – додатки для гри в пасьянс і софт для очищення пам'яті пристрою.
Читайте такожКіберполіція попереджає про поширення вірусу-шифрувальника Scarab
Після першого запуску завантажувач звіряє встановлені на пристрої програми з закодованим списком із 160 банківських мобільних додатків. Виявивши один або кілька збігів, він запитує права адміністратора пристрою. Далі, через дві години після активації прав, стартує завантаження мобільного трояна BankBot – його інсталяційний пакет замаскований під оновлення Google Play.
Усі виявлені завантажувачі скачують одну й ту ж версію BankBot з hxxp://138.201.166.31/kjsdf.tmp. Завантаження можливе тільки в тому випадку, якщо на пристрої користувача дозволене встановлення додатків із невідомих джерел. Якщо ця опція включена, на екрані з'явиться повідомлення про помилку і атака не зможе бути продовжена.
Після установки BankBot діє типовим для мобільних банкеров чином. Коли користувач відкриває цільове банківське додаток, троян завантажує підроблену форму введення логіна і пароля. Введені дані будуть відправлені зловмисникам і використані для несанкціонованого доступу до банківського рахунку жертви.
