Group-IB предупредила о трояне, который маскируется под приложения 3-х банков

Ученые безопасности из компании Group-IB обнаружили Android-троян, маскирующийся под мобильные приложения русских банков (название банков не раскрывается).

Cпециалисты из Group-IB, занимающиеся предотвращением и изучением киберпреступлений, сообщили о том, что трояны, созданные для мобильных устройств под управлением ОС андроид, распространяются не через официальный магазин Google Play, а через маркетинговые объявления в поисковых системах, пишет РИА Новости.

Например, пользователи, набиравшие в поисковике запрос на скачивание приложения банка, получали на первых страницах поисковиков маркетинговые сообщения об установке сервиса. Затем злоумышленники получают доступ к банковскому счету жертвы.

Проблема, связанная с распространением мобильной версии банковского вымогателя BankBot, стала настоящей угрозой для пользователей.

При всем этом подлинный «хозяин» личного кабинета присутствует в неведении: СМС-уведомления о доступе к его счету, транзакциях и любых иных операциях перехватываются Android-трояном.

В процессе последующего расследования знатоками компании была выявлена связь распространителя этих разрушительных банковских приложений и создателя мошеннических ресурсов по продаже авиабилетов, которые были популярны в 2016 и в самом начале 2017 г. CERT Group-IB продолжает следить за развитием ситуации. «Троян» перенаправляет пользователей на сторонний ресурс, где предлагается установить приложение. Он маскируется под мобильные приложения банков. Однако, в этом случае, жертвы фишинг-атаки были согласны взять на себя все риски.

«Независимо от банка, под который создано мобильное приложение, за этим стоит одна и та же группа лиц».

По утверждению руководителя Центра реагирования на инциденты информационной безопасности CERT-GIB Александра Калинина, качество приложений-подделок как по механике заражения, так и по дизайну регулярно растет.

По утверждению уполномченных компании, хакеры законно выкупают места в поисковых системах и располагают там объявления. Для загрузки вредной программы жертву перенаправляли на чужие ресурсы — в доменных именах которых использовались наименования банков для большей убедительности.