Специалисты из «Доктор Веб» обнаружили новую версию программы BankBot, которая похищает конфиденциальные пользовательские данные, включая информацию о банковских картах, а также захватывает контроль над функционалом устройства. Программа инфицировала сотни приложений в Google Play и несет угрозу для пользователей десятков государств.
Программа BankBot замаскирована под безобидные приложения, загружаемые тысячами пользователей. После установки BankBot получает доступ к специальным возможностям в Android, что позволяет полностью захватить контроль над устройством.
Троянская программа сама добавляет себя в список администраторов устройства, присваивает себе статус менеджера сообщений по умолчанию и получает доступ к функционалу создания скриншотов. В результате BankBot отправляет и перехватывает текстовые сообщения, в том числа от банка, а также делает скриншоты всей информации, которую вводит пользователь, а затем передает их киберпреступникам.
Программа может осуществлять передачу на сервер информации об текстовых сообщениях, хранящихся в памяти устройства, а также производить загрузку на сервер данных об установленных приложениях, списка контактов и сведений о телефонных вызовах.
Троянская программа может отображать фальшивые формы для ввода учетных данных поверх легитимных банковских сервисов, демонстрировать фишинговое окно с настройками платежного сервиса, запрашивая ввод данных о банковской карте, а также осуществлять блокировку антивирусов и иных защитных решений, которые могут работе BankBot.
По словам экспертов «Доктор Веб», BankBot атакует свыше 50 приложений, которые предназначены для взаимодействия с платежными системами. Троянская программа проникла в сотни приложений в Google Play, угрожая пользователям из разных стран.
