Новый троян записывает ввод данных в банковских Android-приложениях

Новая версия вредоноса BianLian — киберпреступники модифицировали троян, оснастив его дополнительными возможностями атаки на банковские приложения. Эксперты компании Fortinet подробно исследовали новый экземпляр зловреда.

По словам специалистов, BianLian теперь может записывать экран Android-устройства, что помогает киберпреступникам выкрасть учетные данные пользователей онлайн-банкинга.

В процессе установки BianLian пытается получить разрешение на использование функций для людей с ограниченными возможностями (Accessibility Services). Как только пользователь предоставит ему доступ, начнется фаза атаки.

Любые окна финансовых приложений вредоносная программа может записывать, используя скринкаст-модуль, для чего BianLian требуются отдельные права в системе Android. Таким образом, весь процесс ввода имени пользователя, пароля, а также данных платежных карт записывается и передается в руки злоумышленников.

Ранее BianLian выполнял функцию дроппера для другого вредоноса — Anubis. Его изначальные характеристики позволяют обходить детектирование различными защитными механизмами. Например, BianLian может проникнуть в Google Play.

Согласно отчету Fortinet, так выглядит список атакуемых банковских приложений:

• com.akbank.android.apps.akbank_direkt
• com.albarakaapp
• com.binance.dev
• com.btcturk
• com.denizbank.mobildeniz
• com.finansbank.mobile.cepsube
• com.garanti.cepsubesi
• com.ingbanktr.ingmobil
• com.kuveytturk.mobil
• com.magiclick.odeabank
• com.mobillium.papara
• com.pozitron.iscep
• com.teb
• com.thanksmister.bitcoin.localtrader
• com.tmobtech.halkbank
• com.vakifbank.mobile
• com.ykb.android
• com.ziraat.ziraatmobil
• finansbank.enpara
• tr.com.hsbc.hsbcturkey
• tr.com.sekerbilisim.mbank