Google Play Store попередив користувачів Android про виявлений вірус TsarBot. Він атакував вже понад 750 банківських і торгових застосунків. Фахівці повідомляють про російський слід.
Про це пише Cyble. TsarBot поширюється через фішингові сайти, які маскуються під законні фінансові платформи, і встановлюється через дроппер під виглядом сервісів Google Play. Вірус показує підроблений екран входу поверх справжнього застосунку, крадучи облікові дані, щойно їх вводять.
TsarBot, ймовірно, російського походження, здатний дистанційно керувати екраном пристрою. Він приховує шкідливі дії за чорним накладним екраном, фіксує облікові дані за допомогою підробленого екрана блокування для отримання повного контролю та може надсилати вкрадені дані та швидко виконувати шахрайські операції на пристрої.
TsarBot не обмежується накладеними атаками, враховуючи його можливості дистанційного керування. Одна з них стосується двофакторної автентифікації (2FA), необхідної для застосунків, які вона атакує, за допомогою “техніки захоплення замків, клавіатурного журналу та перехоплення SMS-повідомлень”.
“Зловживаючи службами доступності та зв’язком WebSocket. TsarBot підкреслює постійну загрозу, яку представляють банківські шкідливі програми. Користувачам слід бути обережними під час встановлення програм, уникати ненадійних джерел і бути пильними щодо фішингових сайтів, які поширюють такі загрози”, – пише Cyble.
Видання наголошує, що залишатися в безпеці дуже просто. Зокрема, користувачів закликають не встановлювати програми за межами Play Store або інших офіційних магазинів Android.