Эксперты работающей в сфере кибербезопасности компании Group-IB зафиксировали распространение вируса-трояна, маскирующегося под мобильные Android-приложения крупных российских банков, сообщает RNS со ссылкой на данные компании.
По информации Group-IB, вирус маскируется под приложения в зависимости от поискового запроса потенциальной жертвы. В данный момент известно примерно о десяти ресурсах, через которые распространялся троян.
Получить вирус могли пользователи, которые искали нужные приложения в поисковиках, а не в официальном магазине Google Play. По словам представителей Group-IB, хакеры легально выкупают рекламные места в поисковиках и размещают на них объявления, через которые распространяется вирус. По их данным, он может маскироваться под приложения трех ведущих российских банков, а в доменных именах ресурсов, с которых идет скачивание вредоносных программ, указаны названия этих банков.
При установке вирус запрашивает у жертвы логин и пароль от личного кабинета банка. Если вредоносная программа имеет доступ к чтению и отправке сообщений с телефона, она перехватывает и уведомления о доступе к счету и проведению транзакций. Group-IB сообщила, что уведомила банки об этом вирусе.
«Злоумышленники — русскоговорящие, так как и рекламные объявления — на русском, а целевые банки — российские, все сайты, используемые для мобильных приложений-подделок, (написаны) на грамотном русском языке», — рассказали в Group-IB. В компании отметили, что эти же хакеры могут стоять за фальшивыми сайтами по продаже авиабилетов, на которых хакеры крали реквизиты банковских карт пользователей.