В офіційному магазині Google Play ряд троянських додатків, націлених на викрадення банківських даних користувачів, виявили фахівці компанії компанії ESET. Програми маскуються під додатки для очищення та прискорення роботи пристроїв, контролю стану акумулятора та навіть тематичних додатків для перегляду гороскопу, йдеться у повідомленні прес-служби компанії.

Спеціалісти ESET виявили 29 таких додатків і повідомили компанію Google, яка в свою чергу вилучила всі виявлені нелегітимні програми зі свого магазину. Однак до цього часу фальшиві програми вже встигли встановити майже 30 тисяч користувачів.

Після завантаження троянські програми здатні маскуватися під будь-які додатки на пристроях користувачів за допомогою спеціальних фішингових форм. Крім цього, шкідливі програми можуть перехоплювати та перенаправляти текстові повідомлення для обходу двофакторної аутентифікації на основі SMS, перехоплювати журнали викликів, а також завантажувати та встановлювати інші програми на інфікованому пристрої. Додатки завантажувались від імені різних розробників, однак подібність кодів свідчить про те, що всі програми створені однією групою зловмисників.

На відміну від більшості фальшивих банківських додатків, які поширюються під виглядом легітимних фінансових установ та відображають фальшиві екрани для входу, виявлені додатки володіють складним функціоналом та розширеними можливостями маскування на пристроях жертв.

У разі запуску на пристрої жертви шкідливі додатки відображають помилку з повідомленням про видалення через несумісність із пристроєм жертви. Після цього підробні програми намагаються залишатися непомітними якомога довше на пристрої користувача або надають обіцяний функціонал, наприклад, показ гороскопів. Найбільш важливою особливістю цих троянських додатків є те, що вони можуть маскуватися під будь-який додаток, встановлений на інфікованому пристрої. Після запуску легітимного додатку троянська програма здатна непомітно для користувача перекривати його фіктивними формами.

Виявлені шкідливі додатки не мають особливих функцій для забезпечення стійкості та захисту від видалення з інфікованих пристроїв, тому їх можна легко деінсталювати. Видалити шкідливий додаток можна в розділі Налаштування > (Загальні) > Менеджер програм/Програми. Після цього варто перевірити банківський рахунок на наявність підозрілих транзакцій та змінити PIN-код банківської картки, а також пароль для входу у Інтернет-банкінг.

Продукти ESET виявляють та блокують цю загрозу як Android/TrojanDropper.Agent.CIQ.

Для уникнення інфікування пристроїв подібним фальшивим банківським програмним забезпеченням спеціалісти ESET рекомендують користувачам:

  • Завантажувати додатки лише з офіційних магазинів.
  • Під час завантаження додатків варто звертати увагу на кількість завантажень, оцінку програм та відгуки.
  • Звертати увагу на те, які дозволи Ви надаєте встановленим додаткам.
  • Регулярно оновлювати програмне забезпечення пристроїв та використовувати надійне рішення для захисту мобільних пристроїв.
Автор: Олена Кожухар