Эксперты обнаружили мобильный банковский троян для Android, который ворует пароли от банковских приложений, маскируясь под приложения с прогнозом погоды. Зловред размещается в официальном магазине приложений Google Play.
В ходе установки приложение запрашивает у пользователя расширенные права в системе. После завершения троян выводит на рабочий стол виджет с прогнозом погоды, «позаимствованный» у легального приложения. Параллельно с этим информация об устройстве передается в фоновом режиме на командный сервер.
Так, троян распознает популярные банковские приложения, собирает логины и пароли при помощи фальшивых форм ввода и направляет эти данные своим операторам. Функция перехвата текстовых сообщений позволяет обойти двухфакторную аутентификацию на базе SMS. Кроме того, программа может блокировать и разблокировать экран устройства по команде злоумышленников, меняя пароль, – предположительно, эта функция используется в момент списания средств со счета, чтобы скрыть кражу от жертвы.
Первая версия трояна была обнаружена в Google Play 4 февраля. Тогда программа искала одно из 22 банковских приложений, используемых в Турции. Через два дня программу удалили из магазина, однако 14 февраля она вернулась под названием World Weather. Причем на этот раз количество интересных трояну банковских приложений увеличилось до 69. Затронуты оказались пользователи во многих странах мира.
Вскоре после обнаружения World Weather снова удалили из Google Play, сообщает macdigger
Как сообщало Инше ТВ, в январе был обнаружен новый вредоносный банковский троян, направленный на пользователей мобильных телефонов под управлением ОС Android. Новый вирус отличается от большинства мобильных банковских вирусов тем, что использует root-привилегии, хотя деньги можно украсть множеством способов, которые не требуют повышенных прав, и обычно авторы банковского вредоносного обеспечения к ним не стремятся.
Этот троян направил на жителей Украины, Белоруссии и других стран СНГ. Вирус быстро распространяется и сейчас инфицировано 500 тысяч устройств. По словам специалистов, с каждым днем их количество увеличивается примерно на 30-40 тысяч.
Троян распространяется, маскируясь под различные популярные приложения, например, «ВКонтакте», «ДругВокруг», «Одноклассники», Pokemon GO, Telegram, или Subway Surf.
Речь идет о копии, которые распространяются через неофициальные каталоги. Вирус внедрен в легитимное приложение, код расшифровывает файл, добавленный злоумышленниками в ресурсы программы, и запускает его. Затем исполняемый файл скачивает с управляющего сервера основную часть вредоносного кода, который содержит ссылку на скачивание еще нескольких файлов.
В функциональность вредоносного программы входят: отправление, кража, удаление SMS; запись, переправки, блокировка звонков; проверка баланса; кража контактов; осуществление звонков; смена руководителя сервера; загрузка и запуск файлов; установка и удаление программ; блокировка устройства с показом веб-страницы, заданной сервером злоумышленников; составление и передача злоумышленникам списка, содержащегося на устройстве файлов; отправка, переименование любых файлов; перезагрузки телефона.
