Sklep Google Play: w aplikacji do PDF‑ów ukryto trojana bankowego

Zespół Zscaler ThreatLabz ostrzega w serwisie X (dawnym Twitterze) o wykrytym szkodliwym oprogramowaniu, które ukryto w aplikacji FileFUsion PDF File Manager. To aplikacja na Androida, która trafiła do oficjalnego sklepu Google Play, gdzie pobrano ją co najmniej tysiąc razy. W kodzie znaleziono ślady wskazujące na pobieranie trojana Coper prosto z repozytorium na GitHubie.

Coper to trojan bankowy, który w praktyce działa podobnie do znanego Jokera czy trojana Harley. Potrafi wykradać dane z telefonu użytkownika, w tym przechwytywać treść SMS-ów, odczytywać naciśnięcia klawiszy, dane z pamięci oraz wykonywać różne akcje, w tym podszywać się pod inne aplikacje, wyświetlać nakładki na innych aplikacjach oraz otwierać adresy URL w imieniu użytkownika bez jego wiedzy.

Użytkowników, który pobierze taką aplikację, a następnie masowo wyrazi zgodę na przydzielenie szeregu nieuzasadnionych uprawnień w Androidzie (od tego zaczyna się atak), naraża się na spory kłopot, w tym nawet kradzież pieniędzy z konta bankowego. To możliwe, gdy trojan odczyta dane logowania do aplikacji bankowej, w tym kody uwierzytelniające operacje z SMS-ów.

Dalsza część artykułu pod materiałem wideo

Użytkownicy Androida, którzy obawiają się, że mogli pobrać zainfekowaną aplikację, powinni zajrzeć na listę wszystkich programów, by to wykluczyć. Jeśli fałszywy program znalazł się w pamięci urządzenia, w pierwszej kolejności będzie najlepiej skontaktować się z bankiem, by w razie potrzeby zablokować podejrzane operacje związane z aplikacją do bankowości oraz z operatorem - aby wykluczyć nieautoryzowane naliczanie opłat (na przykład w wyniku zapisania użytkownika do subskrybowania usług premium, co mógł w tle wykonać trojan).