Твитнуть
Специалисты компании ESET, занимающейся разработкой антивирусного программного обеспечения, обнаружили турецкий неофициальный магазин Android-приложений CepKutusu.com, который распространял банковский троян Android/Spy.Banker.IE вместо легитимных программ.
Как пояснили в компании, троян Spy.Banker обладает всеми необходимыми для кражи данных онлайн-банкинга функциями: он может осуществлять перехват и отправку СМС, отображение на экране поддельных процессов, удаленное управление зараженным устройством, включая скачивание и установку других приложений.
Ссылка на загрузку трояна вела со всех легитимных приложений, представленных в магазине. Каждое нажатие кнопки «Скачать» инициировало попытку заражения мобильного устройства. Злоумышленники предусмотрели только одно исключение: в течение семи дней после загрузки вредоносная программа оставалась неактивной, а пользователь при попытке скачать другие приложения получал «чистые» ссылки.
После установки троян не пытается имитировать настоящее приложение, выбранное пользователем. Вместо этого он маскируется под плагин Flash Player.
«Похоже, мы имели дело с тестовой атакой, — комментирует вирусный аналитик ESET Лукас Стефанко. — Дело в том, что злоумышленники неэффективно использовали доступ к магазину приложений. Пользователь легко распознает мошенничество, например, когда скачивает игру, а получает вместо нее Flash Player. Вероятно, этим объясняется сравнительно небольшое количество заражений — несколько сотен».
По мнению специалистов ESET, магазин приложений мог быть создан для распространения вредоносного ПО либо пострадать от злонамеренных действий сотрудника или от взлома, выполненного сторонними киберпреступниками, следует из релиза. Вредоносная активность площадки прекратилась через несколько недель после предупреждения ESET.
«Мы впервые столкнулись с таким вектором распространения Android-трояна; подобные атаки характерны для экосистемы Windows и браузеров, — говорит Стефанко. — Могу представить более опасную схему, в которой злоумышленники, контролирующие магазин приложений, добавляют вредоносные функции во все программы, предлагая их троянизированные версии. Это снизило бы риск обнаружения и значительно увеличило число жертв».
https://www.banki.ru/news/lenta/?id=9930238
Как пояснили в компании, троян Spy.Banker обладает всеми необходимыми для кражи данных онлайн-банкинга функциями: он может осуществлять перехват и отправку СМС, отображение на экране поддельных процессов, удаленное управление зараженным устройством, включая скачивание и установку других приложений.
Ссылка на загрузку трояна вела со всех легитимных приложений, представленных в магазине. Каждое нажатие кнопки «Скачать» инициировало попытку заражения мобильного устройства. Злоумышленники предусмотрели только одно исключение: в течение семи дней после загрузки вредоносная программа оставалась неактивной, а пользователь при попытке скачать другие приложения получал «чистые» ссылки.
После установки троян не пытается имитировать настоящее приложение, выбранное пользователем. Вместо этого он маскируется под плагин Flash Player.
«Похоже, мы имели дело с тестовой атакой, — комментирует вирусный аналитик ESET Лукас Стефанко. — Дело в том, что злоумышленники неэффективно использовали доступ к магазину приложений. Пользователь легко распознает мошенничество, например, когда скачивает игру, а получает вместо нее Flash Player. Вероятно, этим объясняется сравнительно небольшое количество заражений — несколько сотен».
По мнению специалистов ESET, магазин приложений мог быть создан для распространения вредоносного ПО либо пострадать от злонамеренных действий сотрудника или от взлома, выполненного сторонними киберпреступниками, следует из релиза. Вредоносная активность площадки прекратилась через несколько недель после предупреждения ESET.
«Мы впервые столкнулись с таким вектором распространения Android-трояна; подобные атаки характерны для экосистемы Windows и браузеров, — говорит Стефанко. — Могу представить более опасную схему, в которой злоумышленники, контролирующие магазин приложений, добавляют вредоносные функции во все программы, предлагая их троянизированные версии. Это снизило бы риск обнаружения и значительно увеличило число жертв».
https://www.banki.ru/news/lenta/?id=9930238