5000 пользователей смартфонов на Android скачали и установили опасную игру, выманивающую данные банковских карт. Троян, попадающий на телефон вместе с игрой, перехватывает все SMS, благодаря чему злоумышленники обходят систему двухфакторной аутентификации.
Зараженная трояном игра называется Jewels Star Classic, она разработана GameDevTony. Вредоносную программу обнаружили эксперты компании ESET.
При скачивании игры на смартфоне оказывается также и мобильный банковский троян BankBot, предназначенный для сбора логинов и паролей от мобильных банковских приложений. Эксперты ESET впервые сообщили о BankBot в начале этого года. Затем в течение полугода злоумышленники дорабатывали троян, добавив улучшенную обфускацию кода и сложный механизм заражения, использующий службу специальных возможностей Android Accessibility Service.
Через 20 минут после первого запуска игры на экране устройства появляется сообщение с предложением активировать службу Google Service в меню специальных возможностей Android. По мнению специалистов, такая отсрочка во времени отвлекает жертву, создавая иллюзию, что появление трояна на телефоне не связано с установкой игры.
Если пользователь активирует службу, троян получает доступ к специальным возможностям Android: разрешает установку приложений из неизвестных источников, устанавливает и запускает компонент BankBot, активирует для него права администратора, устанавливает BankBot в качестве приложения для обмена SMS по умолчанию и получает разрешение для показа своего экрана поверх других приложений.
Затем вредоносная программа начинает работать над кражей данных банковских карт. В отличие от прежних версий, которые имитируют формы ввода логина и пароля приложений мобильного банкинга, новый BankBot специализируется на Google Play – приложении, предустановленном на каждом устройстве Android.
Когда пользователь запускает Google Play, BankBot перекрывает экран легитимного приложения фейковой формой ввода банковских данных и требует подтвердить правильность сохраненной информации. Данные будут отправлены атакующим. BankBot перехватывает все SMS, проходящие через зараженное устройство. Это позволяет злоумышленникам обойти двухфакторную аутентификацию банка.
Как пояснили Bankir.ru в компании ESET, в настоящее время Google уже убрал из магазина игру Jewels Star Classic от GameDevTony. Сейчас в сторе доступна для скачивания игра Jewels Star Classic другого разработчика, не замеченного в распространении вредоносных программ.
В свою очередь, «Лаборатории Касперского» детектирует данное вредоносное ПО с вердиктом HEUR:Trojan-Banker.AndroidOS.Asacub.y. «Семейство банковских троянцев Asacub на данный момент является одним из самых часто атакующих пользователей. Так, во втором квартале этого года мы выявили масштабную кампанию по его распространению, когда количество атакованных устройств исчислялось десятками тысяч. В сентябре этого года Asacub также пытался атаковать более чем 10 000 устройств наших пользователей», - говорит антивирусный эксперт «Лаборатории Касперского» Владимир Кусков.