20/10/22
Компания «Доктор Веб» сообщает об обнаружении банковских троянских программ, которые нацелены на малайзийских пользователей. Злоумышленники распространяют их под видом мобильных приложений-магазинов. При этом в отличие от многих других
эти банкеры не только имеют значки и названия магазинов, но и имитируют полноценную работу таких программ, чтобы выглядеть более правдоподобно и не вызывать лишних подозрений. Данные трояны похищают логины и пароли доступа от учетных записей систем дистанционного банковского обслуживания, а также перехватывают СМС с одноразовыми кодами подтверждения банковских операций. Кроме того, они похищают персональную информацию жертв, включая дату рождения, номер мобильного телефона и номер индивидуальной карты, удостоверяющей личность.
Киберпреступники прибегают к различным способам маскировки вредоносных Android-программ, и, в частности, банковских троянов. Один из них ― создание поддельных или модификация настоящих банковских приложений, которые затем распространяются под видом оригиналов. В том числе ― через сторонние сайты. Однако владельцы мобильных устройств регулярно слышат предупреждения специалистов о том, что скачивать мобильный банк следует только из официальных каталогов ПО или напрямую с сайта кредитной организации. Кроме того, становясь более опытными пользователями, они чаще обращают внимание на признаки, которые могут выдать подделку (непривычный интерфейс, грамматические или графические ошибки в оформлении программы, отсутствие тех или иных функций и т. д.). Поэтому по мере роста грамотности владельцев Android-устройств в вопросе
информационной безопасности подобные методы могут терять эффективность.
Другой способ ― «спрятать» банковского трояна там, где потенциальные жертвы атаки будут меньше всего ждать подвох. Например, в программах, не имеющих отношения к банкам, но так или иначе представляющих интерес для пользователей. Это могут быть самые разнообразные приложения: для общения в социальных сетях, работы с документами, доступа к онлайн-кинотеатрам и многие другие. Именно такой подход выбрали создатели вредоносных программ Android.Banker.5097 и Android.Banker.5098, которые обнаружили наши вирусные аналитики.
Эти банковские трояны распространяются под видом мобильных приложений-магазинов под названиями Olivia Beauty, 44 Speed Mart, Eco Queen и Pinky Cat, каждое из которых посвящено отдельной категории товаров: продуктам питания, косметике, товарам для дома, детей и
животных.
Злоумышленники делают ставку на то, что пользователи все больше привыкают к современным тенденциям в цифровой экономике и набирающей популярность концепции «Сервис ― Приложение». То есть к тому, что у многих компаний, онлайн-магазинов, а иногда даже сообществ в социальных сетях есть собственная мобильная программа. Из-за меньшей осведомленности о потенциальной опасности и недооценки рисков владельцы мобильных устройств склонны скачивать подобные приложения даже с неизвестных сайтов. А поскольку
главная функция онлайн-магазина ― предоставить возможность покупать товары и услуги, потенциальные жертвы с большей долей вероятности раскроют такой программе данные банковской карты и другую конфиденциальную информацию. Этим и пользуются вирусописатели.
Android.Banker.5097 и Android.Banker.5098 нацелены на малайзийских пользователей. Они распространяются через вредоносные сайты с применением стандартных методов
социальной инженерии. Так, посетившим их потенциальным жертвам предлагается скачать приложение того или иного магазина в каталоге Google Play или AppGallery. На самом деле загрузка APK-файлов происходит непосредственно с самих сайтов, и известные каталоги указаны лишь для ввода пользователей в заблуждение. Для установки скачиваемых троянских программ пользователям необходимо разрешить соответствующее действие в настройках своих мобильных устройств.
