Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении в официальном магазине Google Play ряда троянских приложений, нацеленных на похищение банковских данных пользователей. Программы маскируются под приложения для очистки и ускорения работы устройств, контроля состояния аккумулятора и даже тематические приложения для просмотра гороскопа.
Специалисты ESET обнаружили 29 таких приложений и сообщили компании Google, которая в свою очередь удалила все выявленные нелегитимные программы из своего магазина. Однако к тому времени фальшивые программы уже успели установить почти 30 тысяч пользователей.
После загрузки троянские программы способны маскироваться под любые приложения на устройствах жертв с помощью специальных фишинговых форм. Кроме этого, вредоносные программы могут перехватывать и перенаправлять текстовые сообщения для обхода двухфакторной аутентификации на основе SMS, перехватывать журналы вызовов, а также загружать и устанавливать другие программы на зараженном устройстве. Приложения загружались от имени различных разработчиков, однако сходство кодов свидетельствует о том, что все программы созданы одной группой злоумышленников.
В отличие от большинства фальшивых банковских приложений, которые распространяются под видом легитимных финансовых программ и отображают фальшивые экраны для входа, обнаруженные приложения обладают сложным функционалом и расширенными возможностями маскировки на устройствах жертв.
В случае запуска на устройстве жертвы вредоносные приложения отображают ошибку с сообщением об удалении из-за несовместимости с устройством жертвы. После этого поддельные программы пытаются оставаться незаметными как можно дольше на устройстве пользователя или предоставляют обещанный функционал, например, показ гороскопов. Наиболее важной особенностью этих троянских приложений является то, что они могут маскироваться под любое приложение, установленное на зараженном устройстве. После запуска легитимного приложения троянская программа способна незаметно для пользователя перекрывать его фиктивными формами.
Обнаруженные вредоносные приложения не имеют особых функций для обеспечения устойчивости и защиты от удаления из зараженных устройств, поэтому их можно легко деинсталлировать. Удалить вредоносное приложение можно в разделе Настройки > (Общие) > Диспетчер приложений/Программы. После этого следует проверить банковский счет на наличие подозрительных транзакций и изменить PIN-код банковской карты, а также пароль для входа в Интернет-банкинг.
Продукты ESET обнаруживают и блокируют эту угрозу как Android/TrojanDropper.Agent.CIQ.
Для избежания заражения устройств подобным фальшивым банковским программным обеспечением специалисты ESET рекомендуют пользователям:
- Загружать приложения только из официальных магазинов.
- Во время загрузки приложений обращать внимание на количество скачиваний, оценку программы и отзывы.
- Обращать внимание на то, какие разрешения вы предоставляете установленным приложениям.
- Регулярно обновлять программное обеспечение устройств и использовать надежное решение для защиты мобильных устройств.