До того, как Google удалила вредонос из своего магазина приложений, его скачали 15 тыс. раз.

Специалисты ИБ-компании Check Point обнаружили в магазине Google Play Store семь приложений, замаскированных под антивирусы, которые заражают Android-устройства банковским трояном SharkBot.

Троян похищает учетные данные и банковскую информацию, а также оснащен функцией геопозиционирования и использует прочие инвазивные техники, что отличает его от другого вредоносного ПО.

SharkBot не заражает устройства пользователей в Китае, Индии, Румынии, России, Украине и Беларуси. До того, как Google удалила вредонос из своего магазина приложений, его скачали 15 тыс. раз. Большая часть жертв приходится на Италию и Великобританию.

SharkBot использует разрешения Accessibility Services для отображения поддельных окон поверх легитимных банковских приложений. Когда ничего не подозревающий пользователь вводит свое имя и пароль в этом поддельном окне, замаскированном под форму авторизации, все эти данные сразу же отправляются на подконтрольный злоумышленникам сервер.

Примечательно, что вредонос способен автоматически отвечать на уведомления Facebook Messenger и WhatsApp для распространения фишинговой ссылки на фейковое антивирусное приложение. Таким образом, SharkBot распространяется подобно червю.

Недавно Google также удалила из Play Store ряд приложений, содержащих шпионский код, который собирал данные о местоположении пользователей.

Источник: securitylab