Мобильный банковский Trojan, нацеленный на клиентов банков, пробирается в Google Play

Мобильный банковский Trojan, нацеленный на клиентов банков, пробирается в Google Play

Совсем недавно группа разработчиков мобильных угроз из Avast сотрудничала с исследователями ESET и SfyLabs, чтобы изучить новую версию BankBot - вредоносной программы мобильного банкинга, которая неоднократно внедрялась в Google Play в этом году, ориентируясь на приложения крупных банков, включая WellsFargo, Chase, DiBa и Citibank и их пользователей в США, Австралии, Германии, Нидерландах, Франции, Польше, Испании, Португалии, Турции, Греции, России, Доминиканской Республике, Сингапуре и Филиппинах.

Новая версия BankBot скрывалась в приложениях, которые в первой кампании представляли собой приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight. Во второй кампании BankBot перешел на игры с пасьянсами и приложения для оптимизации работы системы, куда были внедрены дополнительные виды вредоносного ПО помимо BankBot, называемого Mazar и Red Alert. Однако, вместо того, чтобы освещать темные углы, приносить радость и удобство в жизнь своих пользователей, темные намерения этих приложений заключались в том, чтобы шпионить за пользователями, собирать их данные для входа в мобильный банк и красть их деньги.

Google ранее удалял старые версии приложений, поддерживающих BankBot, из Play Маркета в течение нескольких дней. Однако несколько версий остались активными до 17 ноября. Это было достаточно долго, и приложения могли заражать тысячи пользователей.

Google тщательно проверяет все приложения, представленные в PlayMarket на предмет внедрения вредоносных программ. Но в своих последних кампаниях авторы мобильных троянов начали использовать специальные методы, чтобы обойти автоматическую проверку Google. Они запускали мошеннические действия через два часа после того, как пользователь давал права администратора устройства на приложение. Кроме того, они опубликовали приложения под разными аккаунтами разработчиков, что является общей методикой, используемой для обхода проверок Google.

Как только приложения оказываются загруженными, вредоносная программа активируется. Она проверяет, какие приложения по списку из 160 элементов установлены на зараженном устройстве. В этот список входят приложения от Wells Fargo и Chase в США, Credit Agricole во Франции, Santander в Испании, Commerzbank в Германии и многие другие со всего мира.

После установки BankBot действует обычным для мобильных банков образом. Когда пользователь открывает банковское приложение, вирус выводит поддельную форму ввода логина и пароля. Введенные данные будут отправлены злоумышленникам и использованы для несанкционированного доступа к банковскому счету жертвы.

Как вы можете защитить себя от мобильных банковских троянов? Мы рекомендуем пользователям предпринять следующие шаги:

  • Убедитесь, что приложение, которое вы используете, является настоящим банковским приложением. Если интерфейс выглядит незнакомым, выполните двойную проверку со специалистами службы обслуживания клиентов банка.
  • Используйте двухфакторную аутентификацию, если ваш банк предлагает ее в качестве опции.
  • Отключите возможность загрузки приложений с неизвестных источников. Так вы будете в безопасности от этого типа банковских троянов, активизирующихся на вашем телефоне.
  • Перед загрузкой нового приложения проверьте его рейтинг от пользователей. Если другие пользователи жалуются на плохую работу приложения, это может быть причиной не устанавливать его.
  • Обратите внимание на разрешения, которые запрашивает приложение. Если приложение-фонарик запрашивает доступ к вашим контактам, фотографиям и мультимедийным файлам, рассматривайте это как "красный флаг". Зачастую вредоносное ПО попросит предоставить права администратора устройства, чтобы получить полный контроль.
  • Используйте проверенные приложения безопасности и антивирусы, которые обнаруживают и защищают вас от BankBot.