По крайней мере 10 приложений в Google Play Store распространяют BankBot Anubis
Специалисты IBM X-Force одним махом обнаружили несколько вредоносных приложений в Google Play Store. Эти приложения заразили пользователей Android трояном под названием BankBot Anubis. Эта вредоносная программа украла учетные данные банковских приложений, электронных кошельков и платежных карт.
Исследователи признают, что эта вредоносная кампания была обнаружена еще в июне 2018 года. Злоумышленники интегрировали полезную нагрузку в самые разнообразные приложения: от решений для онлайн-покупок до приложений для мониторинга фондового рынка. Вся "продукция" преступной группировки выглядела очень реалистично, поэтому эксперты добавляют, что на эту кампанию было вложено огромное количество ресурсов. По крайней мере, таких злостных грузчиков было десять.
Другие вредоносные программы уже проникли в каталог приложений Google Play, и BankBot Anubis не является исключением: ему удалось пройти все проверки безопасности благодаря полезной нагрузке, которая была доставлена на устройство после установки приложения (когда вредоносная программа “проанализировала ситуацию” и связалась с управляющим сервером). В этом случае сама вредоносная программа довольно успешно маскируется под Google Protect, и, как следствие, многие антивирусные решения также не обнаруживают ничего подозрительного.
По мнению экспертов, разработчики BankBot Anubis регулярно меняют и обновляют свои вредоносные программы, расширяя их возможности, но такие изменения в коде вносятся очень осторожно, чтобы не привлекать внимания механизмов безопасности Google Play. Регулярные обновления также указывают на то, что за созданием этой вредоносной программы стоит очень опытная преступная группа.
Задача вредоносного ПО состоит в том, чтобы проникнуть в устройство и замаскироваться под Google Protect, а затем запросить разрешение на использование Службы специальных возможностей. Если пользователь согласен-считает, что имеет дело с решением Google, - вредоносный код может начать функционировать как кейлоггер, другими словами, начать красть финансовую информацию пользователя. Кроме того, Анубис имеет возможность делать скриншоты, а значит, его операторы будут получать их и обладать всей необходимой информацией для будущих атак.
По данным IBM X-Force, вредоносная программа в основном атакует пользователей из Турции, но в список потенциальных жертв также попали Россия, Белоруссия, Китай, Израиль, Азербайджан, Великобритания и другие страны.
Исследователи полагают, что обнаруженные загрузчики могут быть частью сервиса некой преступной группировки, предлагающей клиентам доступ к Google Play. Другая теория заключается в том, что в обработке BankBot Anubis distribution участвует та же группа, которая ранее работала с троянцем, получившим название Marcher.
Автор: Keylogger.Org Команда