Google удалила два новых вредоносных приложения-дроппера, обнаруженных в Play Store для Android, одно из которых выдавало себя за приложение для здорового образа жизни и было поймано на распространении банковской вредоносной программы Xenomorph.
«Xenomorph - это троян, который крадет учетные данные из банковских приложений на устройствах пользователей» - сообщили исследователи Zscaler ThreatLabz Химаншу Шарма и Вирал Ганди.
«Он также способен перехватывать SMS-сообщения и уведомления пользователей, что позволяет ему красть одноразовые пароли и запросы многофакторной аутентификации".
Компания по кибербезопасности заявила, что также обнаружила приложение для отслеживания расходов, которое демонстрировало аналогичное поведение, но отметила, что не смогла извлечь URL-адрес для получения артефакта вредоносной программы.
Два вредоносных приложения выглядят следующим образом:
- Todo: Дневной менеджер (com.todo.daymanager)
- (com.setprice.expenses).
Оба приложения функционируют как дропперы, то есть сами приложения безвредны и являются каналом для получения вредоносной нагрузки следующих этапов атаки, которая, в случае Todo, размещена на GitHub.
Xenomorph, впервые задокументированный ThreatFabric в феврале этого года, известен тем, что злоупотребляет разрешениями на Android для проведения оверлейных атак, в ходе которых поддельные экраны входа представляются поверх легитимных банковских приложений для кражи учетных данных жертв.
Более того, вредоносная программа использует описание канала Telegram для декодирования и создания командно-контрольного домена, используемого для получения дополнительных команд.
Новость последовала за обнаружением четырех мошеннических приложений в Google Play, которые, как выяснилось, направляли жертв на вредоносные веб-сайты в рамках рекламной кампании и кампании по краже информации. Компания Google сообщила изданию The Hacker News, что уже забанила разработчика.
Источник: https://thehackernews.com
