Эксперты ESET обнаружили мобильный банковский троянец для Android с функцией блокировки экрана, маскирующийся под приложения с прогнозом погоды на Google Play. В ходе установки вредонос запрашивает у пользователя расширенные права в системе. По завершении установки троянец выводит на главный экран виджет с прогнозом погоды, «позаимствованный» у легального приложения. Параллельно с этим информация об устройстве передается в фоновом режиме на командный сервер.
Троянец распознает популярные банковские приложения, собирает логины и пароли при помощи фальшивых форм ввода и направляет эти данные своим операторам. Функция перехвата текстовых сообщений позволяет обойти двухфакторную аутентификацию на базе SMS. Кроме того, программа может блокировать и разблокировать экран устройства по команде злоумышленников, меняя пароль. Предположительно, эта функция используется в момент списания средств со счета, чтобы скрыть кражу от жертвы.
Специалисты ESET обнаружили первую версию троянца на Google Play 4 февраля. Вредонос маскировался под приложение Good Weather и искал на скомпрометированных устройствах одно из 22 банковских приложений, используемых в Турции. Через два дня поддельное приложение было удалено из магазина. Уже 14 февраля на Google Play появилась обновленная версия вредоносной программы. Под названием World Weather она распространялась до 20 февраля включительно. Функционал троянца не изменился, но теперь кампания расширила охват и была нацелена на пользователей 69 британских, австрийских, немецких и турецких банковских приложений. После предупреждения ESET вредоносные приложения были удалены из Google Play, хостинговая компания обезвредила сервер злоумышленников.
