Как сообщает компания ESET, ее специалисты обнаружили нового банковского троянца, которому удалось проникнуть в Google Play. Вредоносная программа маскируется под приложение для мониторинга курса криптовалют Crypto Monitor и StorySaver, инструмент для загрузки историй из Instagram.

Первое из этих приложений, Crypto Monitor, было загружено в Google Play 25 ноября разработчиком walltestudio. Второе, StorySaver от разработчика kirillsamsonov45, появилось 29 ноября. Приложения набрали в общей сложности 1000–5000 загрузок и были удалены 4 декабря после предупреждения специалистов ESET.

Вредоносные приложения поддерживают заявленные функции, но, помимо этого, могут выводить на экран собственные сообщения, красть логины и пароли мобильного банка и перехватывать смс, используемые для двухфакторной аутентификации.

После запуска и установки троянец сверяет установленные на устройстве программы с собственным списком банковских мобильных приложений. Данная версия вредоносной программы нацелена на 14 приложений польских банков.

Обнаружив на устройстве целевое приложение, троянец выводит на экран поддельную форму ввода логина и пароля мобильного банка. Это происходит без участия пользователя либо после того, как жертва откроет «сообщение от банка», которое также отображает троянец. Введенные данные могут быть использованы для несанкционированного доступа к банковскому счету жертвы.

Тот же троянец, но с другой маскировкой недавно обнаружили в Google Play исследователи из RiskIQ. Их отчет опубликован 9 ноября.

Антивирусные продукты ESET детектируют угрозу как Android/Spy.Banker.QL и предотвращают ее загрузку.