По сообщению компании ESET, ее специалисты обнаружили 29 банковских троянцев, замаскированных под безвредные программы в Google Play. Пользователи скачали их в общей сложности более 30 тыс. раз. Троянцы маскировались под гороскопы, инструменты для очистки системы или экономии заряда аккумулятора и пр.

После установки на планшет или смартфон большинство приложений сообщало о несовместимости с устройством и имитировало удаление из системы (по факту иконка просто скрывалась от глаз пользователя). Некоторые подделки (например, приложения-гороскопы) выполняли заявленные в описании функции.

Вне зависимости от способа маскировки, на втором этапе атаки на устройстве происходила расшифровка полезной нагрузки с функционалом банкера. Далее троянец выбирал цель среди приложений, установленных на устройстве, и внедрял соответствующую фишинговую форму для ввода логина и пароля. Кроме того, вредоносная программа перехватывала и пересылала текстовые сообщения, чтобы обойти двухфакторную аутентификацию через SMS, и могла устанавливать на устройство другое ПО.

Вредоносные приложения были загружены в Google Play от лица разных компаний-разработчиков. Тем не менее, считают в ESET, сходство исходного кода и один и тот же управляющий сервер позволяют предположить, что у подделок один и тот же автор или группа авторов. Продукты ESET определяют угрозу как Android/TrojanDropper.Agent.CIQ.

Подделки удалены из Google Play в период с августа по октябрь 2018 г.

Компания ESET напоминает, что загружать приложения безопаснее из официальных магазинов, а в ходе установки приложений из Google Play следует обращать внимание на запросы разрешений и проверять рейтинги программ и оценки других пользователей.