Согласно исследованию, проведенному тремя фирмами, специализирующимися на кибербезопасности, мобильный банковский троян, который все ещё был активен в Google PlayStore не далее, чем в прошлую пятницу, заразил тысячи устройств пользователей, которые думали, что они скачивают игры или безобидные приложения.
Вирус, известный как BankBot, был скрыт внутри различных приложений-фонариков или пасьянсов и был впервые обнаружен исследователями 13 октября.
После загрузки инфицированного приложения, троянский вирус активизируется и ждёт, пока пользователь зайдёт в заранее отобранные банковские приложения, например, такие какWells Fargo, Chase, CitiBank, и DiBa. В некоторых случаях из текстовых сообщений перехватывались даже аутентификационные номера для совершения транзакций (способ мультифакторной аутентификации, используемый в некоторых банках).
Исследования новейших возможностей BankBot были проведены сотрудниками чешских организаций Avast и ESET, а также компанией SfyLabs, расположенной в Амстердаме и специализирующейся на угрозах для Android.
Несмотря на то, что сервис Play Protect для обнаружения вредоносного ПО сканирует все загружаемые в Google Play Store приложения, BankBot обошёл эту защиту, разместив “полезную нагрузку” на своём сервере управления. После того, как пользователи скачивают какое-нибудь зараженное приложение, например, “Tornado Flashlight”, вирус ожидает около двух часов перед тем, как начать скачивать свою вредоносную полезную нагрузку.
По заявлению Avast, на телефонах, у которых не стояло автоматического разрешения на скачивание файлов из ненадёжных источников, появлялись запросы на подтверждение инсталляции. Они сбивали с толку и были замаскированы таким образом, чтобы пользователь подумал, что это обновление системы или Google Play, требующее административных привилегий.
Далее BankBot спокойно ожидал, пока пользователь зайдет в какое-либо из вышеупомянутых банковских приложений. Учетные данные передавались злоумышленникам сразу после того, как пользователь вводил их, входя в приложение.
Некоторые банковские приложения отправляют пользователям через текстовые сообщения специальные коды безопасности, которые нужно ввести, чтобы получить доступ к аккаунту. Однако, в последней версии BankBot была встроена функция, которая позволяла перехватывать текстовые сообщения и передавать коды мошенникам.
По информации от Avast, BankBot поразил устройства пользователей не только в США, но также и в Австралии, Германии, Голландии, Франции, Польше, России, Доминикане, Сингапуре и на Филиппинах.
Также исследователи из Avast сообщают, что вирус не активизировался в Украине, Беларуси и России. Скорее всего, это связано с тем, что злоумышленники не хотят привлекать дополнительное внимание правоохранительных органов этих стран.
Существует несколько шагов, которые пользователи могут предпринять, чтобы в будущем защитить свой банковский счет от опустошения. В основном, необходимо убедиться, что телефону разрешена загрузка данных только из доверенных источников. По крайней мере, можно в индивидуальном порядке проверять подозрительные приложения (проверять раздел «Безопасность» в настройках аппарата).
Также можно рекомендовать просто не скачивать приложения-фонарики. У всех них отвратительная репутация из-за того, что в них часто попадаются вирусы, и изменений в этом плане не предвидится в ближайшем будущем. Просто купите себе обычный фонарик.
перевод статьи Dell Cameron, GIZMODO