В октябре и ноябре 2017 года эксперты зафиксировали новый механизм распространения мобильного банкера BankBot, который злоумышленники разместили в «безобидных» приложениях Google Play для скрытой загрузки трояна на устройства пользователей.
На первом этапе атаки в Google Play появились приложения-фонарики Tornado FlashLight, Lamp For DarkNess и Sea FlashLight с вредоносным кодом. На втором этапе злоумышленники внедрили банкер в приложения для игры в пасьянс и софт для очистки памяти устройства.
После того, как зараженный софт окажется на устройстве и будет запущен, скрытый в нем код сверяет установленные на устройстве программы с закодированным списком из 160 банковских мобильных приложений. Обнаружив одно или несколько совпадений, он запрашивает права администратора устройства. Далее, через два часа после активации прав, стартует загрузка мобильного трояна BankBot — его установочный пакет замаскирован под обновление Google Play.
Механизм работы BankBot на зараженном устройстве очень прост: когда пользователь запускает любое банковское приложение, троян показывает ему поддельную форму ввода логина и пароля, либо реквизиты банковской карты. Введенные данные далее пересылаются злоумышленникам и используются для несанкционированного доступа к банковскому счету жертвы.
Защититься от банкера очень просто — достаточно запретить установку приложений из неизвестных источников. В этом случае установщик просто выдаст сообщение об ошибке. Другое дело, что мало у кого из пользователей Android эта функция включена.
