Uprkos naporima Googlea da spriječi infiltraciju malvera u svoju Play prodavnicu, maliciozne aplikacije uspijevaju da prevare zaštitne mehanizme prodavnice i inficiraju uređaje.
Stručnjaci iz nekoliko firmi primijetili su dvije nove kampanje širenja malvera preko Play prodavnice. U okviru jedne od njih širi se nova verzija BanBota, malvera koji imitira postojeće aplikacije banaka, da bi ukrao podatke sa kojima se korisnici prijavljuju na svoje naloge.
BankBot je dizajniran da prikazuje prozore koji prekrivaju legitimne aplikacije velikih banaka, među kojima su Citibank, Wells Fargo, Chase Bank i druge, i tako krade osjetljive informacije, lozinke korisnika i podatke sa njihovih kreditnih kartica.
Osim toga, BankBot je osposobljen da obavlja različite zadatke, kao što su slanje i presretanje SMS poruka, obavljanje poziva, praćenje inficiranih uređaja i krađa kontakata.
Google je ranije ove godine uklonio bar četiri verzije ovog trojanca iz Play prodavnice, ali je BankBot uvjek nalazio načine da ponovo uđe u Play prodavnicu i napada korisnike banaka širom svijeta.
Drugu kampanju u okviru koje se širi ne samo BankBot, već i malveri Mazar i RedAlert primijetili su stručnjaci iz kompanije ESET koji su ovu kampanju analizirali na kompanijskom blogu.
BankBotom su se bavili i stručnjaci Avasta, koji su zajedno sa kolegama iz ESET-a i SfyLabsa, upozorili na najnoviju verziju BankBota koja se krije u Android aplikacijama koje su predstavljene kao bezazlene aplikacije koje imaju funkciju baterijske lampe.
Ove aplikacije, koje su prvi put primijećene 13. oktobra, koriste posebne taktike da bi izbjegle Googleove automatske provjere. Jedna od taktika podrazumijeva da malver počinje sa svojim aktivnostima tek dva sata pošto maliciozna aplikacija dobije administratorska prava. Druga taktika podrazumijeva da se aplikacije objavljuju pod različitim imenima programera.
Kada ih korisnici preuzmu, ove maliciozne aplikacije provjeravaju koje su aplikacije instalirane na uređaju tražeći one koje se nalaze na hardkodovanoj listi malvera na kojoj je 160 mobilnih aplikacija banaka.
Ako pronađe jednu ili više takvih aplikacija, malver preuzima i instalira BankBot APK sa svog komandno-kontrolnog servera, i pokušava da prevari žrtvu da mu odobri administratorska prava, pretvarajući se da je Play Store ili sistemsko ažuriranje, koristeći sličnu ikonu ili naziv.
Kada dobije administratorske privilegije, BankBot prikazuje prozor preko legitimnih aplikacija koje su na njegovom spisku, kad god ih žrtve pokrenu, i krade sve što žrtva ukucava u jednu takvu aplikaciju.