Mobilny koń trojański dostępny w Google Play

Jak donoszą badacze z IBM X-Force Team[1], w oficjalnym sklepie z aplikacjami dla systemu Andorid – Google Play, znaleziono szkodliwe oprogramowanie, które pobierało konia trojańskiego o nazwie BankBot Anubis.

Użytkownicy, którzy nieświadomie zainstalowali szkodnika na swoim smartfonie są narażeni na kradzień danych logowania do aplikacji bankowości mobilnej, danych kart kredytowych oraz e-portfeli (e-wallets).

Źródło: https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/
Źródło: https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/
Źródło: https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/
Źródło: https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/

Jak donoszą badacze, instalowana przez użytkowników aplikacja była w rzeczywistości downloaderem, który pobierał szkodnika. Pierwsze przypadki infekcji zauważono już w czerwcu. Downloader został znaleziony w dziesięciu różnych aplikacjach. Dodatkowo odkrywcy wskazują, że pomimo stosunkowo małej liczby złośliwych programów, każdy mógł pobrać ponad 1000 próbek z serwera C&C (Command and Control), zarządzanym przez twórców BankBot Anubisa. Sama kampania jest bardzo dobrze przygotowana, jak wskazuje serwis VirusTotal, downloadery nie zawsze są poprawnie wykrywane.

Źródło: https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/
Źródło: https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/

Po zainstalowaniu na urządzeniu ofiary, szkodnik podszywa się pod aplikację o nazwie „Google Project” i wyświetla komunikat z prośbą o przyznanie wyższych praw.

Źródło: https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/
Źródło: https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/

Od tego momentu możliwe jest śledzenie użytkownika poprzez logowanie „wciśniętych” klawiszy. Dodatkowo wykonywane są zrzuty ekranu, dzięki czemu można zarejestrować to co użytkownik wykonuje na swoim telefonie lub tablecie w danym momencie. Szkodniki działały w wielu krajach, w tym w Polsce.

Warto pamiętać nie tylko o instalacji programu antywirusowego, ale przede wszystkim o sprawdzaniu aplikacji, którą zamierzamy zainstalować – nawet jeżeli pochodzi z Google Play. Najlepiej sprawdzać liczbę pobrań, opinie, ale także wiarygodność dewelopera. Dobrą praktyką jest również regularne wykonywanie kopii zapasowych systemu.

[1]https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/