Банкеры
Только на прошлой неделе специалисты «Доктор Веб» рассказали об удалении из официального каталога приложений Google 127 вредоносов, и вот уже подоспели новые сообщения о малвари в Google Play. На этот раз специалисты по информационной безопасности обнаружили в каталоге сразу несколько семейств банковских троянов.
Так, вчера эксперт компании ESET Лукаш Стефанко (Lukas Stefanko) рассказал у себя в Twitter о трех банкерах, которые маскировались под астрологические приложения и насчитывали более 1500 установок. Сейчас все три угрозы уже удалены из Google Play, но до этого приложения воровали SMS-сообщения и журналы звонков, могли отправлять сообщения от имени жертв, загружали и устанавливали сторонние приложения без одобрения владельца устройства, а также похищали банковские учетные данные.
Stay away from these apps!
— Lukas Stefanko (@LukasStefanko) September 3, 2018
Found Three banking Trojans on Google Play with more than 1500+ installs.
They are remotely controlled bots with injection capabilities.
Functionality:
-steal SMS, callLogs
-send SMS
-download and install apps
-steal banking credentials pic.twitter.com/K1MAlyoyyp
Одно из найденных специалистом приложений (Herobot) прибегало к интересной маскировке. Оно показывало жертвам фальшивые предупреждения о несовместимости и якобы удалялось, но на самом деле малварь продолжала работать в фоновом режиме и атаковала банковские приложения, установленные на устройстве. По данным Стефанко, управляющий сервер этого вредоноса активен до сих пор.
Эксперт отмечает, что все три банкера были опасны и из-за очень низкого уровня обнаружения антивирусными продуктами. На скриншотах ниже можно увидеть, что еще вчера, 3 сентября 2018 года, малварь обнаруживали максимум 12 решений из 60, представленных на VirusTotal.
Однако Стефанко – не единственный, кто сообщил о банковских троянах в Google Play за последние дни. О похожей находке в Twitter рассказал и специалист компании Avast Николаос Крисайдос (Nikolaos Chrysaidos).
Gotcha! More #Android #Banker malware (5+) slipped in @GooglePlay Store. This campaign started first days of August.
— Nikolaos Chrysaidos (@virqdroid) August 29, 2018
- Reported
- "Stamped" with Google's new frosting security metadata
- Found with @apklabio pic.twitter.com/j2GviNA0dW
Крисайдос нашел в каталоге приложений более пяти банкеров, выдававших себя из приложения для оптимизации производительности. По информации специалиста, данная кампания была активна с начала августа 2018 года.
Другие угрозы
К сожалению, в Google Play можно встретить не только банковские трояны, но и другие опасные приложения, которые могут угрожать пользователям как напрямую, так и косвенно.
К примеру, на прошлой неделе все тот же Лукаш Стефанко раскритиковал популярнейшее VPN-приложение Protect Your Data, которое может похвастаться более чем 10 000 000 установок. Исследователь предупреждал, что приложение следит за трафиком пользователей, собирает данные о местоположении, установленных и запущенных приложениях, а также о посещенных сайтах.
Android Legitimate Spyware with 10M+ installs.
— Lukas Stefanko (@LukasStefanko) August 31, 2018
App #Onavo owned by Facebook, is VPN service that collects your:
- mobile traffic
- location
- installed/opened apps
- visited websites
This app should hide your traffic & increase privacy, instead it collects it. pic.twitter.com/gvhYDhphk2
Другое приложение, под названием Transparent clock & weather, насчитывает более 50 000 000 установок и написано так плохо, что каждые 15 секунд передает вовне данные о местоположении пользователя в незашифрованном виде.
'Transparent clock & weather' app with 50M+ installs sends user's location unencrypted every 15 seconds.
— Lukas Stefanko (@LukasStefanko) September 3, 2018
If you have this app, you should exchange it for other.https://t.co/ZVXDcENnU9 via @verovaleros pic.twitter.com/fgh3vOEPVw
