ИБ-эксперты предупреждают об активизации опасного вируса, способного похищать деньги из банковских приложений, установленных на смартфон, сообщает ZDNet. Речь идет о трояне TeaBot, который маскируется под популярные Android-приложения и вводит пользователей в заблуждение. Сообщается, что больше всего случаев заражения TeaBot зафиксировано в Западной Европе, а именно в Испании и Италии. Также жертвами вируса стали пользователи из Великобритании, Франции, Бельгии, Нидерландов и Австрии.
Впервые о вирусе стало известно в декабре прошлого года, но его активность с тех пор лишь увеличилась.
Операторы TeaBot обманом вынуждают пользователей устанавливать вредоносное ПО, заставляя их думать, что они скачивают популярное приложение с миллионами установок. У фейковых сервисов похожие названия и логотипы, поэтому невнимательная жертва верит в то, что имеет дело с подлинной программой, а не подделкой.
Зараженное приложение показывает рекламу — в некоторых баннерах сообщается, что смартфон пользователя заражен, и потому ему нужно перейти по ссылке, чтобы защитить свое устройство. После клика TeaBot попадает в смартфон жертвы и буквально получает полный контроль над ним — включая перехват SMS-сообщений и кражу средств с банковских аккаунтов пользователя.
Название TeaBot новому семейству троянов дали киберспециалисты из Милана, которые одними из первых начали исследовать угрозу, рассказал «Газете.Ru» PR-менеджер ESET в России и СНГ Михаил Бочаров. Одна из особенностей банковского трояна заключается в том, что он легко модифицируется, и весь потенциал вредоносной программы еще не раскрыт.
«Но уже сейчас, попадая на смартфон жертвы, TeaBot берет под контроль внушительный список важных функций.
Кроме имитации нажатий на экран и перехвата уведомлений безопасности от банков, троян может удалять или скачивать приложения незаметно от владельца – даже если на смартфоне активны функции идентификации пользователя по лицу или отпечатку пальца.
Цель трояна – завладеть данными держателя карты и перехватить уведомление идентификации от банка. На данный момент жертвами TeaBot становятся только пользователи определенных приложений Android, поэтому перед установкой на отдельно взятое устройство вредоносное ПО сканирует гаджет на наличие уже скачанных приложений», — сообщил эксперт.
Как это часто бывает, финальное действие по установке вируса совершают сами жертвы. По запросу от фейкового сервиса пользователи отключают настройки безопасности Android, таким образом давая разрешение на скачивание приложений не из официального магазина.
Кража идентификационных данных происходит в тот момент, когда пользователь вводит пароли и CVV коды – TeaBot незаметно делает снимки экрана и каждые 10 секунд отправляет файлы на сервер мошенников.
«Поскольку среди функций TeaBot есть возможность самоудаления с устройства, жертва может даже не понять, что ее банковский счет опустошили хакеры», — пояснил Бочаров.
По словам Ондржея Дэвида, руководителя группы анализа вредоносных программ в Avast, TeaBot (также известный как Anatsa) часто маскируется под медиа-проигрыватели, например, TeaTV и VLC MediaPlayer, а также службы экспресс-доставки грузов и документов, такие как UPS и DHL.
«Похожий механизм недавно использовал другой вредоносный троян - FluBot. Как только TeaBot попадает на устройство, злоумышленники видят прямую трансляцию с экрана и получают доступ ко всем функциям устройства. Наличие удаленного доступа делает данный троян еще сложнее и опаснее, чем вышеупомянутый FluBot», — сообщил Дэвид.
По словам эксперта, на данный момент случаи заражения TeaBot в России единичны — вероятно, операторы этого трояна пока что не нацелены на российских пользователей.