Пожалуй, каждый владелец смартфона (за исключением разве что школьников) пользуется мобильным банкингом. При этом устанавливая банковские клиенты на своё устройство, мы полностью уверены в том, что они безопасны. Но как показывает практика, злоумышленники умудряются скомпрометировать и такие приложения, загруженные, казалось бы, из надёжных источников.
Специалисты компаний Avast, ESET и SfyLabs взялись за изучение новой версии трояна BankBot, который неоднократно оказывался в магазине Google Play в этом году. Основной целью этого зловреда был сбор информации о счетах пользователей в крупнейших банках всего мира, включая Россию.
Банковский троян BankBot впервые был обнаружен в январе 2017 года. Тогда Google оперативно удалила его из Google Play, однако модифицированные версии зловреда стали маскироваться под обычные приложения и игры, обходя встроенную проверку. Самыми распространёнными из них были утилиты для очистки памяти и обычные фонарики, при включении которых осуществлялся запуск вируса на устройстве. В общей сложности, вредоносное ПО три раза находили и удаляли из магазина приложений. Но, по всей видимости, до этого момента BankBot всё еще прятался в некоторых программах. Этого оказалось достаточно, чтобы заразить тысячи устройств пользователей по всему миру.
По данным исследования, создатели трояна для мобильного банкинга использовали специальные уловки, позволяющие обойти проверку Google. Так, например, приложения публиковались в Google Play под разными именами разработчиков и начинали свою активную работу не сразу, а через несколько часов после предоставления прав администратора на устройстве. Причём в последнем случае это преподносилось под видом обновлений системных служб.
BankBot действует следующим образом. Он загружает поддельную страницу авторизации поверх банковского приложения и, как только пользователь вводит свои реквизиты, они сразу же отправляются злоумышленникам. В некоторых случаях зловред перехватывает форму двухфакторной аутентификации для подтверждения онлайн-транзакций.
Помимо банковских реквизитов, BankBot отслеживает учётные данные других приложений, а некоторые его вариации могут блокировать устройство, вымогая деньги за разблокировку.
