Компанія ESET — лідер в галузі проактивного виявлення — попереджає про поширення шкідливого банківського програмного забезпечення BankBot у Google Play. Для уникнення виявлення загроза маскується під легітимні додатки та розпочинає шкідливу діяльність через деякий час після завантаження.
«У жовтні та листопаді 2017 року була зафіксована програма-завантажувач, яка поширюється під виглядом безпечних додатків у Google Play та інсталює банківське програмне забезпечення BankBot на пристрій жертви. На відміну від попередніх загроз, нова шкідлива програма завантажується лише на пристрої, на яких увімкнена інсталяція з невідомих джерел», — розповідають спеціалісти вірусної лабораторії ESET.
Під час першого запуску шкідливого додатку завантажувач перевіряє встановлені на пристрої додатки на відповідність заданому списку із 160 програм. У разі виявлення одного або кількох співпадінь завантажувач просить надати права адміністратора пристрою, а через дві години після отримання прав завантажується банківський троян BankBot із hxxp://138.201.166.31/kjsdf.tmp.
Крім необхідності увімкнення інсталяції з невідомих джерел, цей спосіб інсталяції потребує підтвердження користувача для продовження. Ім’я та іконка пакету для інсталяції з метою введення в оману жертви замасковані під оновлення Google Play. Якщо інсталяція з невідомих джерел вимкнена, на пристрої з'явиться повідомлення про помилку, і шкідлива програма не завантажиться.
Протягом 2017 року спеціалісти ESET виявляли в Google Play різноманітні шкідливі програми. Незважаючи на видалення нелегітимних додатків з Google Play протягом кількох днів після появи у магазині, загрози інфікували тисячі користувачів. Зокрема нещодавно було зафіксовано ряд шкідливих додатків в офіційному магазині Android, які завантажували на пристрій жертви мобільний троян.
У зв'язку з підвищеною активністю шкідливих програм спеціалісти компанії ESET рекомендують дотримуватися правил безпеки під час завантаження програм з магазинів:
- Встановлюйте додатки із Google Play, оскільки багато шкідливих програм як і раніше поширюється через альтернативні магазини.
- Переглядайте відгуки та рейтинги додатків перед інсталяцією. Більшість шкідливих програм перебуває в магазині недовго та не встигає досягти великої кількості завантажень.
- Вимкніть можливість інсталяції з невідомих джерел.
- Зверніть увагу — після інсталяції більшість шкідливих програм потребують прав адміністратора пристрою для запобігання видаленню або для подальшого блокування пристрою, тому цей дозвіл надавати не варто. Інші загрози можуть використовувати службу спеціальних можливостей для отримання контролю над пристроєм. Тривожним сигналом також може бути зникнення додатка з пристрою під час його першого запуску. У таких випадках першочергово слід виконати резервне копіювання даних і виконати повернення до автоматичних налаштувань для видалення шкідливої програми.
- Використовуйте надійні рішення для захисту від нових кіберзагроз.