Фишинговое ПО, которое обнаружили исследователи фирмы Cybereason, называется EventBot. Оно маскируется под проверенное Android-приложение, но благодаря встроенным функциям получает неограниченный доступ к операционной системе устройства. После установки на смартфон зараженный EventBot спокойно переводит на себя пароли от более чем 200 банковских приложений и криптокошельков, включая PayPal, Coinbase, CapitalOne и HSBC, и перехватывает текстовые сообщения с кодами для двухфакторной аутентификации. С паролем жертвы и двухфакторной аутентификацией хакеры получают доступ к банковским счетам, приложениям и кошелькам и крадут денежные средства.
«Разработчик EventBot вложил массу времени и ресурсов в создание кода — уровень его сложности и потенциал очень высоки», — рассказал Ассаф Дахан, старший директор департамента исследования угроз Cybereason.
Вредоносная программа записывает каждое касание и может читать уведомления других установленных приложений, тем самым предоставляя преступникам доступ ко всему, что происходит в устройстве жертвы. Спустя какое-то время фишинговое ПО отправляет на сервер хакеров пароли от финансовых приложений.
Исследователи говорят, что EventBot продолжает совершенствоваться. Спустя несколько недель после обнаружения в марте эксперты заметили, что вредоносное приложение продолжает обновляться раз в несколько дней, приобретая все новые и новые возможности. В какой-то момент создатель вредоносного ПО улучшил схему шифрования, которую использовал для коммуникации с хакерским сервером, и включил новые функции, которые позволили захватить код блокировки смартфона и предоставить приложению больше привилегий в отношении гаджета, как, например, управление платежами или настройками.
Эксперты зашли в тупик в поисках того, кто стоит за этим ПО, но точно одно — это совершенно новый тип вредоносных программ.
«До настоящего времени мы не наблюдали чистых случаев копирования или переработки кода из других вредоносных программ, однако создается впечатление, что этот был написан с нуля», — заметил Ассаф Дахан.
Вредоносное программное обеспечение для гаджетов под управлением Android встречается не впервые, однако сейчас их количество значительно возросло. Киберпреступники фокусируются на пользователях мобильных устройств, поскольку именно здесь установлены банковские приложения, социальные сети и другие значимые сервисы с личными данными. Google уделяет много внимания информационной безопасности: ведет постоянную проверку мобильных приложений перед размещением в Google Play, блокирует сторонние программы. Хакеры в свою очередь постоянно совершенствуют вредоносное ПО, маскируют код, чтобы ИБ-мониторинг не распознал опасность, поэтому периодически фишинговые приложения проникают в официальные магазины приложений.
Сейчас EventBot удален из Google Play, но это не значит, что вы не сможете его встретить на просторах сети. Если официальные ресурсы дорожат своей репутацией и постоянно мониторят ПО, размещенное на их страницах, то малоизвестные сайты в большинстве случаев не проверяют приложения на вредоносный код. Поэтому пользователи должны оставаться бдительными, чтобы ненароком не скачать приложение, которое лишит их денежных накоплений и не получит доступ к критически важным данным.
Закрыть
Поиск