Специалисты компаний Avast и SfyLabs предупредили о появлении нового мобильного банкера — Catelites Bot. Исследователи пишут, что малварь схожа с другой известной угрозой, трояном CronBot, создатели которого (группировка Cron) были арестованы в начале текущего года.
Исследователи пишут, что подобные вредоносы далеко не всегда попадают на устройства пользователей через официальный каталог приложений Google Play или сторонние каталоги. Не менее распространенными векторами заражения являются вредоносная реклама и фишинговые сайты.
После установки на устройство жертвы банкер маскируется под приложение System Application («Системное приложение»). Если попытаться запустить его, приложение запросит права администратора. Когда ничего не подозревающий пользователь предоставит малвари нужные привилегии, иконка System Application пропадет с рабочего стола, а на ее месте появятся Gmail, Google Play и Chrome.
Если пользователь не заметит произошедшего и воспользуется одним из этих приложений, сработает расставленная злоумышленниками ловушка. Поверх приложения будет открыт оверлей, запрашивающий конфиденциальные данные (к примеру, информацию о банковской карте). Зачастую от такого оверлея невозможно избавиться, он ведет себя, как блокировщик и не пропадает, пока данные не будут введены.
По данным исследователей, Catelites Bot также способен имитировать приложения 2200 банков и финансовых организаций. Как только пользователь запускает банковское приложение, его тоже перекрывает оверлей, имитирующий его интерфейс. Кроме того, малварь, традиционно для таких угроз, может перехватывать SMS-сообщения, отключать звук, следить за другими запущенными задачами и так далее.
ИБ-специалисты сообщили журналистам Ibtimes, что пока Catelites Bot атакует исключительно российских пользователей, и его жертвами уже стали более 9000 человек. Но исследователи полагают, что это лишь начало, и скоро преступники расширят географию заражений.