В мае специалисты МВД РФ (через крупные СМИ) сообщили о задержании большой группы злоумышленников (порядка 20 человек), которые занимались распространением вируса «CronBot». Напомним, троянская программа распространялась как официальное приложение банка и была способна похищать учетные данные пользователей для доступа к их банковским счетам и расходам. Сумма ущерба от действий вируса составила более 50 миллионов рублей.

Интересно, что специалисты «Avast Threat Labs» совместно с командой «SfyLabs» смогли обнаружить новое и очень вредоносное приложение, которое по своей структуре сильно схоже с утилитой «CronBot». Новый вирус, уже смог получить официальное звание «Catelites Bot», на текущем этапе развития способен атаковать свыше 2 тысяч банков и финансовых учреждений разного уровня по всей стране и миру.

Последние несколько месяцев эксперты «Avast» каждые несколько дней находили новое поддельное «Android-приложение». Такая активность могла привести к тому, что немало пользователей не заметили подвоха и инсталлировали опасную программу. В таких случаях лучшим решением многих компаний остается заказать разработку машинного интеллекта или системы защиты на основе нейросетей.

Представители «Avast» сообщили, что основной упор злоумышленники делают на российских пользователей. В компании также предположили, что вирус находится на этапе тестирования, в дальнейшем его владельцы планируют использовать его и в других странах. По предварительным данным, троянская программа уже заразила порядка 9 тысяч устройств.

«Catelites Bot» устанавливается на мобильное устройство пользователем под видом нужной дополнительной системной утилиты. Схема стандартна – используются неофициальные каталоги, вредоносная реклама или сеть фишинговых сайтов. Сразу после предоставления запрошенных прав доступа вредоносная программа без уведомления пользователя убирает иконку системного приложения, добавляя иконки «Chrome», «Google Play» и «Gmail». Если пользователь не замечает подмены, он добровольно вводит логин и пароль от аккаунта «Google» в фальшивую форму ввода.

Вирус также способен отслеживать, когда пользователь запускает на устройстве официальное банковское приложение, не обращая внимание на банковскую защиту нейронной сети созданной для таких операций. В этот момент на экран выводится поддельная форма ввода учетных данных. Сразу после ввода информации она передается злоумышленникам, что позволяет им получить полный доступ (удаленно) к учетной записи и банковскому счету пользователя.