Новый мобильный банкер на Google Play — теперь под видом приложения-фонарика

Новый мобильный банкер на Google Play — теперь под видом приложения-фонарика

Никогда не было и вот опять. На Google Play обнаружили приложение с «незадокументированными возможностями» — фонарик Flashlight LED Widget, скрывающий функции мобильного банкера. Приложение появилось 30 марта и до удаления 10 апреля было загружено до пяти тысяч раз.

В отличие от других вредоносных программ с постоянным набором целевых приложений, этот троян меняет цели динамически, в зависимости от софта, установленного на зараженном устройстве.

cae4f8ae70f54c5d99c03c08b929c9ee.png


в январе 2017 года. Но в отличие от первой версии, которая использовалась преимущественно в качестве вымогателя (блокировка устройства – требование выкупа), в нашем случае атакующие переключились на кражу банковских данных – сравнительно редкая для платформы Android эволюция.

Из-за использования фишинговых окон и функции блокировки, Android/Charger.B напоминает мобильный банкер, который мы анализировали в феврале. Однако новая находка более опасна – в этом трояне нет жестко закодированного списка целей, атаковать можно практически любое приложение. Это открывает почти неограниченные возможности для будущего использования малвари.

Как удалить?

Поиск вредоносного приложения: Настройки – Менеджер приложений/Приложения – Flashlight Widget.

f3f802ab15624d96847433e1fd45a818.png


Обнаружить приложение легко, удалить – сложнее. Троян не позволяет жертве отключить права администратора, закрывая экран всплывающим окном. В этом случае устройство нужно перезапустить в безопасном режиме, можно действовать в соответствии с нашей видеоинструкцией.

Антивирусные продукты ESET NOD32 детектируют малварь как Trojan.Android/Charger.B.

Образец:

Android/Charger.B
com.flashscary.widget
CA04233F2D896A59B718E19B13E3510017420A6D
Новый мобильный банкер на Google Play — теперь под видом приложения-фонарика
 
Последнее редактирование:

Phoenix

Аксакал
Сообщения
2,108
Реакции
1,845
Если зараженное устройство находится в России, Украине или Беларуси, управляющий сервер деактивирует троян – похоже, что атакующие таким образом пытаются избежать уголовного преследования в своей стране.
Боится :Scratch One S Head:
 
Сверху Снизу