Вредоносному ПО раз за разом удается обходить проверки Google Bouncer.
С момента публикации исходного кода банковского Android-трояна, известного как Android.BankBot.149.origin, в открытом доступе, инженеры Google ведут непрерывную борьбу с различными версиями вредоносного ПО, которым раз за разом удается обходить проверки безопасности Google Play Store.
Первая версия трояна, получившая наименование BankBot, появилась в конце января 2017 года и использовалась в атаках на клиентов российских банков. В феврале авторы вредоноса выпустили новый вариант, ориентированный не только на клиентов банков в РФ, но и финорганизаций в других странах, в частности Великобритании, Австрии, Германии и Турции.
В новых версиях BankBot разработчики модифицировали утекший исходный код и добавили возможность маскировки вредоносного ПО под легитимные приложения для обхода проверок Google Bouncer. В общей сложности исследователи в области безопасности обнаружили три вредоносных кампании по распространению BankBot в Google Play Store.
Первое вредоносное приложение под названием Funny Videos 2017 было замечено в Play Store специалистами Securify в апреле текущего года. Еще одно - HappyTimes Videos - эксперты обнаружили в минувшие выходные. Обе программы уже удалены из интернет-каталога.
По словам специалистов, оба приложения содержали свежую версию банковского трояна BankBot. По аналогии с другими подобными вредоносами BankBot отображает фальшивое окно авторизации поверх интерфейса легитимного банковского приложения. Как отмечается, вредонос может похищать учетные данные не только для банковских приложений, но и других сервисов, в том числе Facebook, Viber, Youtube, WhatsApp, Uber, Snapchat, WeChat, IMO, Instagram, Twitter и Google Play Store.
Кроме того, BankBot способен демонстрировать поведение, присущее вымогательскому ПО, и блокировать устройство пользователя, а также перехватывать SMS-сообщения для обхода механизма двухфакторной аутентификации.
Одно найти легче, чем другое. Спойлер: это не темная материя