Опасный банковский вирус заразил сотни приложений Google Play

Эксперты компании «Доктор Веб» опубликовали отчет об обнаружении новой версии вируса BankBot, который крадет конфиденциальную информацию пользователей, в частности данные о банковских картах, также получает контроль над самыми разными функциями устройства. Вирусом заражены сотни приложений в Google Play, он угрожает пользователям десятков стран.
Григорий Матюхин

Схема работы банкера

Вирус BankBot распространяется под видом безобидных приложений, которые скачивают тысячи пользователей. После установки банкер получает доступ к специальным возможностям (Accessibility Service) оболочки Android, посредствам чего захватывает полный контроль над устройством.

Троян самостоятельно добавляется в список администраторов устройства, устанавливает себя в качестве менеджера сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана. Первая функция нужна вирусу для того, чтобы отправлять и перехватывать СМС, например, от банка. Вторая позволяет вредоносной программе делать скриншоты всех вводимых пользователем данных, чтобы затем отправить их злоумышленникам.

Вирус защищает сам себя

Неопытный пользователь увидев несколько запросов и не разобравшись в сути, быстро забывает про них и продолжает пользоваться заражённым девайсом, не подозревая, что вся его личная СМС-переписка и данные банковских карт уже оказались в руках киберпреступников. При этом банкер защищает сам себя - отключить его администраторские функции так просто не получится.

Ваши деньги под угрозой

Банкер обучен передавать на сервер сведения об СМС, которые хранятся в памяти устройства, загружать на сервер информацию об установленных приложениях, список контактов и сведения о телефонных вызовах.

Для того, чтобы вынудить пользователя «поделиться» личными данными, троян может показывать поддельные формы ввода логина и пароля поверх запускаемых банковских программ, отображать фишинговое окно настроек платежного сервиса с запросом ввода информации о банковской карте (например, при работе с программой Google Play) а также блокировать работу антивирусов и других приложений, которые могут помешать троянцу.

Сотни приложений и десятки стран

Эксперты «Доктор Веб» сообщают, что в списке атакуемых троянцем программ содержится более 50 приложений, предназначенных для работы с платежными системами и другое ПО. Вирусом заражены сотни приложений в Google Play, он угрожает пользователям десятков стран.