Экспертам ESET снова удалось обнаружить в GooglePlay мобильный банковский троян BankBot, который скрывается под видом обычного приложения. Зловред приобрел новые функции и маскирует активность под служебные сообщения.
Сообщается, что BankBot собирает логины с паролями от мобильных банковских приложений. В ESET впервые выявили эту угрозу в начале 2017 года. Полгода злоумышленники вносили улучшения в троян. Обновленная версия BankBot обошла защиту и проникла в GooglePlay в сентябре под видом игры JewelsStarClassic. Специалисты сообщили об инциденте, однако приложение успели скачать и установить около 5000 человек.
Когда пользователь Android-смартфона скачивает приложение JewelsStarClassic, на его телефоне оказывается игра и вредоносные компоненты. Спустя 20 минут после запуска приложения на экране смартфона появляется сообщение, рекомендующее активировать службу GoogleService в меню специальных возможностей. После активации службы пользователь предоставляет вредоносу полную свободу действий на своем устройстве. Так, банковский троян может разрешать установку приложений из различных неизвестных источников, устанавливать компонент BankBot и запускать его, активировать права администратора для BankBot, устанавливать BankBot как приложение для обмена СМС по умолчанию, получать разрешение для показа собственного экрана поверх остальных приложений.
Затем зловред начинает похищать данные банковских карточек жертвы. После запуска GooglePlay BankBot перекрывает экран приложения поддельной формой для ввода банковских данных и просит подтвердить правильность сохраненной информации. При этом все персональные сведения отправляются злоумышленникам.
