Výzkumný tým z Avastu ve spolupráci s kolegy ze společností ESET a SfyLabs zkoumal novou verzi škodlivého bankovního malwaru BankBot, který se letos opakovaně naboural do služby Google Play a zasáhl velké banky včetně společností WellsFargo, Chase, DiBa a Citibank a jejich uživatele v USA, Austrálii, Německu, Nizozemsku, Francii, Polsku, Španělsku, Portugalsku, Turecku, Řecku, Rusku, Dominikánské republice, Singapuru a Filipínách. V České republice šlo o Air Bank, ČSOB a Sberbank.
V rámci první vlny útoku se nová verze BankBotu vydávala za důvěryhodnou aplikaci pro svítilnu a nabádala uživatele ke stažení. V druhé vlně, aplikace pro hraní Solitaire či čištění telefonu šířily další druhy malware vedle BankBotu nazývané Mazar a Red Alert (Mazar nedávno popsala společnost ESET). Nicméně namísto toho, aby aplikace uživatelům přinesla světlo, radost ze hry nebo rychlejší výkon mobilního telefonu, zaměřila se na špehování, shromažďování bankovních údajů a krádež peněz.
Společnost Google již dříve odstranila starší verze BankBotu z Google Play během několika dnů. Nicméně několik verzí zůstalo aktivních až do 17. listopadu. To byla dostatečně dlouhá doba na to, aby aplikace napadly tisíce uživatelů.
Google provádí kontroly a prověřování všech aplikací odeslaných do Google Play. Ale autoři trojanů pro mobilní bankovnictví začali nedávno používat speciální techniky k obcházení automatizovaných detekcí Googlu, tím že jejich malware začal škodit dvě hodiny poté, co uživatel povolil práva správce zařízení. Další typickou technikou, jak hackeři obcházeli kontrolu Googlu, bylo publikování aplikací pod jmény různých vývojářů.
Škodlivé aktivity tohoto malwaru zahrnovaly instalaci falešného uživatelského rozhraní, které je uloženo v aplikaci pravého mobilního bankovnictví. Jakmile pak uživatel zadá bankovní údaje, odešlou se rovnou útočníkům. Zejména evropské banky používají ověřovací čísla transakcí (TAN), což je forma dvoufaktorového ověření potřebná k provádění jakýchkoli online převodů. Autoři malwaru BankBot ale dokáží zachytit i textové zprávy s číslem TAN, takže pak snadno mohou uskutečnit bankovní převody jménem poškozeného.
