Trojan na Androida w 6 antywirusach. Kradnie dane logowania do banków
W sklepie Google Play znaleziono 6 szkodliwych aplikacji, w których zaszyto trojana bankowego Sharkbot. Programy udawały antywirusy, w praktyce przechwytując dane logowania ofiary do bankowości internetowej i przekazując je na serwer atakujących.
O szczegółach informuje Check Point Research. Co ciekawe oprogramowanie stworzono tak, by nie atakowało użytkowników z Rosji, Ukrainy, Białorusi, Rumunii, Indii i Chin. Eksperci zakładają w efekcie, że grupa atakujących stojąca za sprawą najprawdopodobniej porozumiewa się w języku rosyjskim, ale nie ma na to wystarczających dowodów. Wszystkie "antywirusy" były dostępne w Google Play.
Szkodliwe programy, o których mowa to:
- Atom Clean-Booster,
- Antivirus Super Cleaner,
- Alpha Antivirus,
- Powerful Cleaner
- Center Security - Antivirus (w dwóch wersjach z różnymi ikonami).
Jak podaje Check Point Research, Google przeanalizował już programy i usunął z Google Play, ale nie zmienia to faktu, że mogą dalej działać w smartfonach, w których zostały wcześniej pobrane. Analitycy ustalili, że łącznie programy zostały pobrane ponad 11 tys. razy, a każdego dnia aktywności liczba ofiar zwiększała się o około 100. Większość pochodziła z Włoch i Wielkiej Brytanii.
Odkryliśmy sześć aplikacji w sklepie Google Play, które rozprzestrzeniały złośliwe oprogramowanie Sharkbot,
kradnące dane uwierzytelniające i informacje bankowe. Patrząc na liczbę instalacji, możemy założyć, że
cyberprzestępcy trafili w dziesiątkę ze względu na metodę rozprzestrzeniania się złośliwego oprogramowania.
Strategicznie wybrali lokalizację aplikacji w Google Play, które cieszą się zaufaniem użytkowników. Na uwagę
zasługuje również to, że cyberprzestępcy wysyłają do ofiar wiadomości push zawierające złośliwe linki, co
prowadzi do powszechniejszego przyjęcia.
Trojan bankowy Sharkbot w świecie aplikacji na Androida nie jest niczym nowym. Oprogramowanie przejmuje dane logowania do bankowości internetowej głównie poprzez wyświetlanie fałszywych formularzy logowania, które mogą do złudzenia przypominać autentyczne aplikacje bankowe stosowane w danych krajach. Dane wprowadzone przez użytkownika trafiają wówczas wprost w ręce atakujących.
