Специалисты компании ESET рассказали об обнаружении турецкого неофициального каталога приложений для Android cepkutusu[.]com, который использовался исключительно для распространения банковского трояна Android/Spy.Banker.IE.
Как и другие подобные угрозы, Spy.Banker в первую очередь предназначен для кражи данных онлайн-банкинга. Малварь может перехватывать и отправлять SMS-сообщений, отображать на экране поддельные процессы, скачивать и устанавливать на зараженное устройство дополнительные приложения. Исследователи отмечают, что после установки троян не пытается имитировать какое-либо настоящее приложение, выбранное пользователем. Вместо этого он маскируется под плагин Flash Player.
Интересно, что турецкий каталог приложений распространял только Spy.Banker, то есть каждое нажатие кнопки «Скачать» инициировало попытку заражения мобильного устройства. Злоумышленники предусмотрели лишь одно исключение – в течение семи дней после загрузки вредонос оставался неактивным, а пользователь при попытке скачать другие приложения получал «чистые» ссылки (см. иллюстрацию выше).
«Похоже, мы имели дело с тестовой атакой, – комментирует Лукас Стефанко, вирусный аналитик ESET. – Дело в том, что злоумышленники неэффективно использовали доступ к магазину приложений. Пользователь легко распознает мошенничество, например, когда скачивает игру, а получает вместо нее Flash Player. Вероятно, этим объясняется сравнительно небольшое количество заражений – несколько сотен».
По мнению специалистов ESET, магазин приложений не обязательно был создан злоумышленниками для распространения вредоносного ПО, сайт также мог пострадать от злонамеренных действий сотрудника или от взлома. Дело в том, что вредоносная активность площадки прекратилась через несколько недель после предупреждения, отправленного ESET.
«Мы впервые столкнулись с таким вектором распространения Android-трояна; подобные атаки характерны для экосистемы Windows и браузеров, – говорит Лукас Стефанко. – Могу представить более опасную схему, в которой злоумышленники, контролирующие магазин приложений, добавляют вредоносные функции во все программы, предлагая их троянизированные версии. Это снизило бы риск обнаружения и значительно увеличило число жертв».
