Эксперты нашли в Google Play новые загрузчики банкеров

 
 

По меньшей мере 10 приложений из Google Play загружают на мобильные устройства банкеры. К такому выводу пришли специалисты исследовательской группы IBM X-Force. Кампания нацелена на турецких пользователей и оперирует сотнями версий троянов. Зловреды маскируются под легитимные приложения и крадут финансовую информацию через снимки экрана и перехват данных клавиатуры.
Для доставки полезной нагрузки киберпреступники применяют программы разных типов — от сервисов онлайн-шопинга до финансовых систем и даже автомобильных приложений. Они легко проходят проверку безопасности Google Play, поскольку не содержат фрагменты вредоносного кода, а снабжены лишь бэкдором для работы с командным сервером.

Показать связанные сообщения

Из Google Play удалили зловред, промышлявший WAP-биллингом
2 July 2018 , 16:56
Арестованы восемь участников африканской кибергруппировки
28 June 2018 , 15:30
Приложение из Google Play показывает рекламу и крадет данные
25 June 2018 , 16:52
Исследователи подчеркнули, что только одно из таких приложений не было пропущено партнерами сервиса VirusTotal. Однако случаев его обнаружения антивирусами зарегистрированного не было.
Проследив эволюцию версий загрузчиков, специалисты отметили постоянное развитие приложений. Мошенники обфусцируют исходный код, чтобы оставаться незамеченными для системы безопасности Google Play, а также расширяют возможности взаимодействия с сервером.
Попав на мобильное устройство жертвы, приложение загружает на него один из штаммов банкера Marcher или финансовый троян BankBot Anubis. Как пояснили эксперты X-Factor, наиболее свежие образы вредоносного ПО в этой кампании относятся к BankBot. Это может свидетельствовать о том, что злоумышленники отказываются от Marcher, однако не исключено, что мошенники работают на принципах MaaS, сдавая криминальную сеть в аренду, и предоставляют своим клиентам возможность выбора полезной нагрузки.
Исследователям удалось обнаружить более тысячи вариантов BankBot и узнать, как менялся его код. По словам специалистов, мы имеем дело со спланированной кампанией, за которой стоит организованная команда киберпреступников.
После установки на смартфон зловред маскируется под легитимное приложение Google Play Protect и запрашивает у пользователя расширенные привилегии на устройстве. В отличие от других банкеров, эта версия BankBot не применяет дополнительный прозрачный слой, чтобы перехватывать пароли и номера банковских карт. Вместо этого программа получает разрешение на запись работы с экранной клавиатурой в финансовых приложениях.
Помимо функций кейлоггера, вредонос способен отправлять злоумышленникам снимки экрана, получать доступ к банковским сервисам и красть пароли от электронных кошельков.
В декабре 2017 года создатель Marcher продал исходный код вредоносного скрипта. Специалисты считают, что это может породить новую волну атак, связанных с этим банкером. Не исключено, что кампания, которую сейчас наблюдают ИБ-эксперты, является одним из последствий криминальной сделки.

Добавить комментарий