Новости

Приложение в Google Play крадет банковские данные

приложение в Google Play передает вирус

Вредоносное приложение в Google Play используется для доставки банковского трояна Cerberus

Эксперты обнаружили в магазине Google Play вредоносное приложение, которое было загружено более 10 000 пользователей и предоставляло банковский троян Cerberus.

Исследователи из AVAST обнаружили приложение для конвертации валют в магазине Google Play, которое было загружено более 10 000 пользователей и предназначено для доставки банковского трояна Cerberus.

В августе 2019 года в среде угроз появилась услуга содержащая вредоносное ПО. Это Android RAT, разработанный с нуля, который не заимствует код у других вредоносных программ.

По словам исследователей Threat Fabric, которые впервые проанализировали вредоносный код, Cerberus реализует функции, аналогичные другим Android RAT, что позволяет операторам полностью контролировать зараженные устройства.

Вредоносная программа реализует возможности банковского трояна, такие как использование оверлейных атак, возможность перехвата SMS-сообщений и доступ к списку контактов, а так же:

  • делать скриншот
  • запись аудио
  • запись keylogs
  • отправка, получение и удаление SMS-сообщений
  • кража списков контактов
  • переадресация звонков
  • сбор информации об устройстве
  • отслеживание местоположения устройства
  • кража учетных данных, 
  • отключение Play Protect
  • загрузка дополнительных приложений и полезных нагрузок
  • удаление приложений с зараженного устройства
  • push-уведомления
  • экран блокировки устройства

Теперь авторы реализовали возможность кражи кода 2FA из приложения Google Authenticator, злоупотребляя привилегиями доступа.

«Подлинное» приложение в этом случае, представленное как конвертер испанской валюты, называется «Calculadora de Moneda». Согласно исследованию, он скрывал свои злые намерения в течение первых нескольких недель, пока был доступен в магазине. Возможно, это было незаметно для пользователей, прежде чем начинать какие-либо вредоносные действия, которые могли бы привлечь внимание исследователей вредоносного ПО или команды Google Play Protect», сообщает анализ, опубликованный AVAST. «В результате приложение было загружено более 10000 раз. Мы сообщили об этом в Google, чтобы они могли быстро удалить его».

Вредоносный код, замаскированный под конвертер валют Calcladora de Moneda, был нацелен на пользователей Android в Испании. Он мог скрываться от системы обнаружения угроз в течение нескольких недель после загрузки в Google Play.

Исследователи Avast уже сообщили Google о своих выводах

Эксперты заметили, что фиктивное приложение изначально использовалось в качестве привлечения внимания, а позже было обновлено. В последние пару дней исследователи из Threat Labs заметили, что вредоносный код получает команду от C2 для загрузки банкира Cerberus в форме APK. 

Банковский троян Cerberus отслеживает активность пользователей и отображает поддельные страницы входа, когда жертва посещает определенные банковские приложения.

Троян может украсть учетные данные пользователя и обойти двух факторную аутентификацию на месте.

Сервер C & C в течение короткого периода времени доставлял банкира, затем он исчезал, и исследователи заметили, что приложение конвертера валют в Google Play больше не содержит вредоносного кода. Эта тактика была применена, чтобы избежать обнаружения.

«Однако вчера вечером сервер управления и контроля исчез, и приложение для конвертации валют в Google Play больше не содержало троянскую вредоносную программу. Хотя это был всего лишь короткий период, эту тактику часто используют мошенники, чтобы скрыться от защиты и обнаружения, то есть ограничить временной интервал, в котором можно обнаружить вредоносную деятельность».

AVAST рекомендует убедиться, что они используют проверенное банковское приложение, использовать двух факторную аутентификацию, загружать приложения только из надежных магазинов приложений, проверять рейтинги новых приложений и проверять разрешения, требуемые для любого приложения. Эксперты также предполагают, что использование мобильного решения безопасности должно помочь оставаться защищенным.

По материалу: securityaffairs.co

Читайте также на нашем сайте:
Западная экономика. Влияние коронавируса
Deutsche Bank и Wirecard провели переговоры о слиянии
Прогнозы ФРС для золота

Поделиться:
Теги

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close
Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
Принять
Политика конфиденциальности