Android-троян маскируется под мобильные приложения крупных российских банков

image

Теги: троян, банки, Android

Троян замаскирован под Android-приложение, которое можно скачать по ссылке в рекламном объявлении.

Исследователи безопасности из компании Group-IB обнаружили Android-троян, маскирующийся под мобильные приложения российских банков (название банков не раскрывается). Об этом сообщает информагентство RNS.

По словам исследователей, в настоящее время удалось обнаружить порядка 10 ресурсов, распространяющих данное вредоносное ПО. Троян замаскирован под Android-приложение, которое можно скачать по ссылке в рекламном объявлении. При этом объявление подстраивается под поисковый запрос пользователя и ориентировано прежде всего на клиентов нескольких крупных российских банков. При наборе в поисковом сервисе запроса «скачать приложение банка ХХХ» на экране отображается рекламный баннер с названием соответствующего банка, после перехода по которому жертва попадет на сайт, загружающий троян под видом мобильного приложения банка.

Как пояснили эксперты, в подобных случаях злоумышленники легально выкупают рекламные места в поисковых сервисах, чтобы пользователям в приоритетном порядке отображались именно вредоносные объявления. Помимо этого, для большей убедительности сайты, на которых можно загрузить троян, содержат названия банков.

Специалисты также отметили, что для заражения устройства пользователю необходимо разрешить установку приложений из недоверенных источников. В случае успешной установки троян похищает данные, необходимые для операций в мобильном банкинге, а также перехватывает SMS-сообщения о доступе к счету и проведению транзакций.

Исследователи уведомили банки о распространении вредоносного ПО под видом их мобильных приложений. Также эксперты сообщили, что независимо от банка, под который создано мобильное приложение, за распространением трояна стоит одна и та же группа лиц. Злоумышленники скорее всего русскоговорящие, поскольку рекламные объявления написаны на русском и целевые банки – российские. По словам исследователей, они уже сталкивались с работой данной хакерской группировки, в частности в прошлом году эти же хакеры запускали фальшивые сайты по продаже авиабилетов для хищения реквизитов банковских карт.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus