История BankBot берет начало в январе 2017 года, когда специалисты заметили, что на андеграундных хакерских форумах распространяются исходные коды какого-то безымянного Android-трояна. Вскоре на основе этих исходников был создан BankBot, чьей целью сначала были пользователи российских банков, но уже к февралю 2017 года авторы малвари улучшили свое детище, и теперь BankBot также атаковал пользователей из Великобритании, Австрии, Германии и Турции.
Хотя исходные коды малвари доступны в открытом доступе, разработчики BankBot хорошо поработали над исходниками, многое изменив, так что их малварь без труда обходит все проверки и проникает в Google Play раз за разом. Так, ранее специалисты уже трижды обнаруживали вредоносные кампании, в ходе которых банкер проникал в официальный каталог приложений, а на прошлой неделе ИБ-специалисты заметили еще два таких случая.
Представители голландской компании Securify рассказали, что на этот раз BankBot маскировался под приложение Funny Videos 2017, которое было загружено 1000-5000 раз, прежде чем троян обнаружили. Специалисты писали, что малварь атакует пользователей более чем 420 банков по всему миру, демонстрируя кастомные оверлеи поверх легитимных приложений и перехватывая SMS-сообщения. Более того, троян может воровать не только пароли от банковских аккаунтов, но и учетные данные таких приложений, как Facebook, Viber, Youtube, WhatsApp, Uber, Snapchat, WeChat, IMO, Instagram, Twitter, Google Play Store.
Еще одна свежая вредоносная кампания была замечена экспертами вчера, 17 апреля 2017 года. В этом случае BankBot тоже маскировался под приложение с забавными видео, HappyTimes Videos. В настоящее время вредонос уже удален из Google Play, но, похоже, в любой момент может появиться там снова.
#Google fail again!!! #Bankbot Android trojan as 'HappyTime Videos' #playstore!, C2 hxxp://satstores.co.uk @malwrhunterteam #infosec (1/2) pic.twitter.com/xyzX0CEYjf
— SfyLabs (@SfyLabs) April 17, 2017
Полный список приложений, которые атакует BankBot, можно увидеть в блоге компании Securify.