Троянец BankBot маскируется под игры и приложения для очистки памяти

Большинство пользователей мобильного банкинга уверены в том, что их средства и транзакции надежно защищены, однако порой киберпреступникам удается обмануть систему и украсть денежные средства людей. Эксперты Avast, ESET и SfyLabs изучили новую версию BankBot, вредоносной программы для мобильного банкинга, которая неоднократно проникала в Google Play Store в этом году. С помощью этого вредоносного ПО были совершены хакерские атаки на пользователей онлайн-банкинга в России, США, Австралии, Германии, Нидерландах, Франции, Польши, Испании, Португалии, Турции, Греции, Доминиканской республике, Сингапуре и на Филиппинах. Среди жертв оказались клиенты Unicredit и Citibank.

Злоумышленники вшивали новые версии BankBot в якобы надежные приложения для игры в пасьянс и для очистки и оптимизации мобильных телефонов. Позже к BankBot добавились дополнительные виды вредоносного ПО — Mazar и Red Alert. Эти приложения шпионили за пользователями, собирали их личных данные и информацию о банковских реквизитах, чтобы впоследствии воровать их деньги.

Ранее Google удалял старые версии BankBot из Play Store в течение нескольких дней, однако несколько версий оставались активными вплоть до 17 ноября. Последние хакерские атаки показали, что авторы троянских вирусов для мобильного банкинга начали использовать специальные методики, которые позволяют обойти программы обнаружения Google. Во-первых, вредоносное ПО активируется только через два часа после того, как пользователь дает приложению права доступа к файлам и данным устройства. Во-вторых, хакеры размещают в Play Store приложения под разными именами разработчиков, чтобы не вызывать подозрения при проверке Google.

Вредоносное ПО работает следующим образом: при открытии мобильного банка программа подгружает поддельную страницу для ввода логина и пароля, которая накладывается поверх оригинального банковского приложения. Как только пользователь вводит свои банковские реквизиты, злоумышленник тут же получает их. В некоторых странах банки используют TAN-пароли (аутентификационные номера транзакций) и форму двухфакторной аутентификации, необходимую для проведения онлайн-транзакций. Авторы BankBot перехватывают текстовое сообщение жертвы, в котором содержится TAN-пароль, что позволяет им осуществлять банковские операции от имени пользователя.

Поделиться с друзьями
ASTERA