Подписаться arrow_upward

Вячеслав

400 приложений в Google play заразились вирусом для шпионажа


BankBot может красть данные банковской карты, отслеживать все входящие СМС и способен контролировать мессенджеры

Эксперты компании «Доктор Веб» опубликовали отчет об обнаружении новой версии вируса BankBot, который крадет конфиденциальную информацию пользователей, в частности данные о банковских картах, также получает контроль над самыми разными функциями устройства. Вирусом заражены сотни приложений в Google Play, он угрожает пользователям десятков стран.

Схема работы банкера

Вирус BankBot распространяется под видом безобидных приложений, которые скачивают тысячи пользователей. После установки банкер получает доступ к специальным возможностям (Accessibility Service) оболочки Android, посредствам чего захватывает полный контроль над устройством.


Троян самостоятельно добавляется в список администраторов устройства, устанавливает себя в качестве менеджера сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана. Первая функция нужна вирусу для того, чтобы отправлять и перехватывать СМС, например, от банка. Вторая позволяет вредоносной программе делать скриншоты всех вводимых пользователем данных, чтобы затем отправить их злоумышленникам.

Вирус защищает сам себя

Неопытный пользователь увидев несколько запросов и не разобравшись в сути, быстро забывает про них и продолжает пользоваться заражённым девайсом, не подозревая, что вся его личная СМС-переписка и данные банковских карт уже оказались в руках киберпреступников. При этом банке защищает сам себя - отключить его администраторские функции так просто не получится.

Ваши деньги под угрозой

Банкер обучен передавать на сервер сведения об СМС, которые хранятся в памяти устройства, загружать на сервер информацию об установленных приложениях, список контактов и сведения о телефонных вызовах.


Для того, чтобы вынудить пользователя «поделиться» личными данными, троян может показывать поддельные формы ввода логина и пароля поверх запускаемых банковских программ, отображать фишинговое окно настроек платежного сервиса с запросом ввода информации о банковской карте (например, при работе с программой Google Play) а также блокировать работу антивирусов и других приложений, которые могут помешать троянцу.


Сотни приложений и десятки стран

Эксперты «Доктор Веб» сообщают, что в списке атакуемых троянцем программ содержится более 50 приложений, предназначенных для работы с платежными системами и другое ПО. Вирусом заражены сотни приложений в Google Play, он угрожает пользователям десятков стран.

Вирус также может похищать любые логины и пароли, которые вводит пользователь. При каждом нажатии на клавиатуру при вводит данных он делает скриншот, а затем отправляет изображения хакерам. Таким образом злоумышленники получают доступ к социальным сетям, в которые заходит владелец смартфона.

Сейчас вирусом заражены около 400 приложений, сообщает «Федеральное агентство новостей». Чтобы его удалить нужно загрузить смартфон в безопасном режиме и отозвать у трояна права администратора. Затем необходимо перезагрузить устройство и запустить полное сканирование антивирусом. 

Чтобы упомянуть другого пользователя в комментарии, введите знак @

Упомянуть можно тех, на кого Вы подписаны или тех, кто принимал участие в дискуссии


Чтобы упомянуть ценную бумагу в комментарии, введите ее тикер после знака ^