Банкеры

Только на прошлой неделе специалисты «Доктор Веб» рассказали об удалении из официального каталога приложений Google 127 вредоносов, и вот уже подоспели новые сообщения о малвари в Google Play. На этот раз специалисты по информационной безопасности обнаружили в каталоге сразу несколько семейств банковских троянов.

Так, вчера эксперт компании ESET Лукаш Стефанко (Lukas Stefanko) рассказал у себя в Twitter о трех банкерах, которые маскировались под астрологические приложения и насчитывали более 1500 установок. Сейчас все три угрозы уже удалены из Google Play, но до этого приложения воровали SMS-сообщения и журналы звонков, могли отправлять сообщения от имени жертв, загружали и устанавливали сторонние приложения без одобрения владельца устройства, а также похищали банковские учетные данные.

Stay away from these apps!
Found Three banking Trojans on Google Play with more than 1500+ installs.
They are remotely controlled bots with injection capabilities.

Functionality:
-steal SMS, callLogs
-send SMS
-download and install apps
-steal banking credentials pic.twitter.com/K1MAlyoyyp

— Lukas Stefanko (@LukasStefanko) September 3, 2018

Одно из найденных специалистом приложений (Herobot) прибегало к интересной маскировке. Оно показывало жертвам фальшивые предупреждения о несовместимости и якобы удалялось, но на самом деле малварь продолжала работать в фоновом режиме и атаковала банковские приложения, установленные на устройстве. По данным Стефанко, управляющий сервер этого вредоноса активен до сих пор.

Эксперт отмечает, что все три банкера были опасны и из-за очень низкого уровня обнаружения антивирусными продуктами. На скриншотах ниже можно увидеть, что еще вчера, 3 сентября 2018 года, малварь обнаруживали максимум 12 решений из 60, представленных на VirusTotal.

Однако Стефанко – не единственный, кто сообщил о банковских троянах в Google Play за последние дни. О похожей находке в Twitter рассказал и специалист компании Avast Николаос Крисайдос (Nikolaos Chrysaidos).

Gotcha! More #Android #Banker malware (5+) slipped in @GooglePlay Store. This campaign started first days of August.
— Reported
— "Stamped" with Google's new frosting security metadata
— Found with @apklabio pic.twitter.com/j2GviNA0dW

— Nikolaos Chrysaidos (@virqdroid) August 29, 2018

Крисайдос нашел в каталоге приложений более пяти банкеров, выдававших себя из приложения для оптимизации производительности. По информации специалиста, данная кампания была активна с начала августа 2018 года.

Другие угрозы

К сожалению, в Google Play можно встретить не только банковские трояны, но и другие опасные приложения, которые могут угрожать пользователям как напрямую, так и косвенно.

К примеру, на прошлой неделе все тот же Лукаш Стефанко раскритиковал популярнейшее VPN-приложение Protect Your Data, которое может похвастаться более чем 10 000 000 установок. Исследователь предупреждал, что приложение следит за трафиком пользователей, собирает данные о местоположении, установленных и запущенных приложениях, а также о посещенных сайтах.

Android Legitimate Spyware with 10M+ installs.

App #Onavo owned by Facebook, is VPN service that collects your:
— mobile traffic
— location
— installed/opened apps
— visited websites

This app should hide your traffic & increase privacy, instead it collects it. pic.twitter.com/gvhYDhphk2

— Lukas Stefanko (@LukasStefanko) August 31, 2018

Другое приложение, под названием Transparent clock & weather, насчитывает более 50 000 000 установок и написано так плохо, что каждые 15 секунд передает вовне данные о местоположении пользователя в незашифрованном виде.

'Transparent clock & weather' app with 50M+ installs sends user's location unencrypted every 15 seconds.
If you have this app, you should exchange it for other.https://t.co/ZVXDcENnU9 via @verovaleros pic.twitter.com/fgh3vOEPVw

— Lukas Stefanko (@LukasStefanko) September 3, 2018

Теги: CSS, Google with приложения более Play