Приложение в Google Play похищало деньги

EasyPos News

Исследователи компании ESET проанализировали чрезвычайно опасное Android-приложение, которое может выполнять множество вредоносных действий, в частности, похищать средства с банковского счёта жертвы или криптовалютного кошелька путем передачи электронной почты или аккаунтов в социальных сетях. От пользователя приложения требуется всего лишь одно действие – дать доступ приложению к Accessibility Service (службы специальных возможностей для людей с ограниченными способностями).

Приложение смогло попасть в Google Play благодаря тому, что разработчики смогли максимально скрыть все вредоносные функции, за исключением требования неограниченного доступа к Accessibility Service, которое их и раскрыло.

Приложение DEFENSOR ID находилось в разделе “Образование”. Оно обещало повысить безопасность работы пользователя при помощи сквозного шифрования. На самом же деле DEFENSOR ID запрашивало несколько критически значимых разрешений, среди которых было изменение системных настроек. После изменения настроек злоумышленник мог получить полный контроль над устройством.

Программа получала возможность читать текст в любом приложении и отправлять его злоумышленникам. Это могли быть СМС, данные для входа в учетные записи и коды двухфакторной аутентификации. Таким образом хакеры получали доступ к аккаунтам онлайн-банков, социальных сетей и почтовым ящикам жертвы.

DEFENSOR ID был выпущен “03” февраля 2020 года и последний раз обновлялся до v1.4 “06” мая 2020 года. Из профиля приложения в Google Play стало ясно, что его скачало всего 10 человек. Компания Eset не может сказать точно, были ли первые версии приложения опасны, но о своей находке они сообщили Google “16” мая 2020 года, в результате чего”19″ мая 2020 года приложение удалили из магазина.

Компания-разработчик носит имя “GAS Brazil“, из чего следует предположить, что преступники, стоящие за разработкой приложения, ориентированы в основном на бразильских пользователей. Также можно предположить, что приложение нацелено и на пользователей, которые используют программное обеспечение “GAS Tecnologia“, которое направлено на обеспечение безопасности передачи информации между банком и его клиентами на ПК.

Как утверждает компания Eset, специалисты провели тесты приложения, в результате которых обнаружили, что приложение работает так, как и задумали злоумышленники:

  1. Нашли незащищённую базу данных;
  2. При вводе в банковском приложении учетных данных, они моментально отображались в БД;
  3. Сообщение, которое писалось в почтовом клиенте, также за секунду попадало в БД;
  4. Данные из Google Authenticator также попадали в БД.

Также специалисты Eset обнаружили еще одно вредоносное приложение – Defensor Digital. Оба приложения использовали один и тот же C&C сервер.

Источник.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *