В Google Play обнаружили погодное приложение, которое крадет пароли от банковских программ

Эксперты обнаружили мобильный банковский троян для Android, который ворует пароли от банковских приложений, маскируясь под приложения с прогнозом погоды. Программа размещалась в официальном магазине приложений Google Play.

В ходе установки приложение запрашивало у пользователя расширенные права в системе. После завершения троян выводит на рабочий стол виджет с прогнозом погоды, «позаимствованный» у легального приложения. Параллельно с этим информация об устройстве передает в фоновом режиме на командный сервер.

Так, троян распознает популярные банковские приложения, собирает логины и пароли при помощи фальшивых форм ввода и направляет эти данные своим операторам. Функция перехвата текстовых сообщений позволяет обойти двухфакторную аутентификацию на базе SMS. Кроме того, программа может блокировать и разблокировать экран устройства по команде злоумышленников, меняя пароль, - предположительно, эта функция используется в момент списания средств со счета, чтобы скрыть кражу от жертвы.

Первая версия трояна была обнаружена в Google Play 4 февраля. Тогда программа искала одно из 22 банковских приложений, используемых в Турции. Через два дня программу удалили из магазина, однако 14 февраля она вернулась под названием World Weather. Причем на этот раз количество интересных трояну банковских приложений увеличилось до 69. Затронуты оказались не только пользователи во многих странах мира.

Вскоре после обнаружения World Weather снова удалили из Google Play.