В Google Play найден вирус-шпион

Под играми в Google Play был найден замаскированный мобильный банковский троян BankBot, который ворует с зараженных устройств пароли мобильного банкинга.

«В октябре и ноябре 2017 ESET обнаружили новые способы распространения мобильного Банкера BankBot. Злоумышленники разместили в Google Play приложения, предназначенные для скрытой загрузки трояна на устройства пользователей. На первом этапе кампании в Google Play появились программы-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредными функциями. На втором этапе - приложения для игры в пасьянс и софт для очистки памяти устройства», - сообщает ESET.

Алгоритм действия вируса достаточно прост - после первого запуска загрузчик сверяет установленные на устройстве программы по закодированному списку из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Далее, через два часа после активации прав стартует загрузка мобильного трояна BankBot - его установочный пакет замаскирован под обновление Google Play.

«Все выявленные загрузчики скачивают одну и ту же версию BankBot с hxxp: //138.201.166.31/kjsdf.tmp. Загрузка возможна только в том случае, если на устройстве пользователя разрешена установка приложений из неизвестных источников. Если эта опция не включена, на экране появится сообщение об ошибке и атака не сможет продолжаться», - говорится в сообщении компании.

Компьютерщики объясняют, что после установки BankBot действует типичным для мобильных банкеров образом. Когда пользователь открывает целевое банковское приложение, троян загружает поддельную форму ввода логина и пароля.

«Введенные данные будут отправлены злоумышленникам и использованы для несанкционированного доступа к банковскому счету жертвы», - отмечают в ESET.

Ранее киберполиция зафиксировала массовое распространение вируса-шифровальщика под названием Scarab.