«Перспективный» Android-троян BankBot, появившийся в январе этого года, обходит меры защиты, реализованные в Google Play, и раз за разом появляется в официальном магазине приложений.

В данный момент BankBot может обходить Google Bouncer (антивирус Google Play, сканирующий поступающие и действующие приложения магазина), и атакует пользователей банков России, Великобритании, Австрии, Германии и Турции.

В Google Play BankBot замаскирован под какое-либо бесполезное приложение вроде «Funny Videos 2017», которые успевают скачивать пару тысяч раз до обнаружения и удаления. Банкер работает через фишинговый экран, который демонстрирует поверх легитимного банковского приложения, может блокировать экран смартфона и перехватывать SMS-сообщения, а также красть учетные данные таких сервисов, как Facebook, Viber, YouTube, WhatsApp, Uber, Snapchat, WeChat, IMO, Instagram, Twitter, Google Play Store.

По мнению специалистов, троянец с течением времени превратится в более многоуровневую и сложную угрозу и доставит немало проблем пользователям, банкам и исследователям.

Threatpost

Приложение System Update, доступное (до недавнего времени) в Google Play с 2014 года, и имеющее от 1 до 5 миллионов скачиваний, передавало атакующему точные геолокационные данные с устройства в виде SMS и в том же виде получало команды.

Интересно, что миллионы пользователей, скачавших приложение, не смутил ни факт наличия системного обновления в Google Play, ни пустые скриншоты, ни комментарии пользователей о том, что оно вообще не работает.

Среди возможностей: передача по SMS локации устройства, получение команд по SMS, установка пароля для вредоноса.

System Update годами не детектировался ни одним антивирусом Virus Total, как вредоносное приложение. Главными тому причинами предполагаются генерация исключений и управление через SMS.

Securityweek ZScaler