Компания ESET нашла в Google Play Маркете приложение Flashlight LED Widget, которое маскируется под фонарик, а на самом деле перехватывает пользовательские данные и передаёт их злоумышленникам.




Flashlight LED Widget запрашивает несколько системных прав, в том числе разрешение открывать окно поверх других приложений. Троян отправляет на удалённый сервер информацию об устройстве, включая список установленных приложений, и фотографию владельца, сделанную фронтальной камерой. Когда жертва запускает интересующее злоумышленников приложение (например, мобильный банк или соцсеть), на экране появится поддельное окно для ввода данных. Логины, пароли или данные банковских карт, введенные в фишинговом окне, будут отправлены злоумышленникам. Троян может блокировать экран устройства, выводя сообщение о загрузке обновлений. В ESET предполагают, что эта функция используется при краже средств со счета. Злоумышленники удаленно блокируют смартфон, чтобы жертва не заметила подозрительную активность и не смогла принять меры. В ходе исследования наблюдался перехват паролей Commbank, NAB и Westpac Mobile Banking, а также Facebook, Instagram и Google Play. Опасность трояна в том, что атакующие могут перенацелить его на любое приложение.

Если зараженное устройство находится в России, Украине или Беларуси, троян деактивируется. Вероятно, таким образом атакующие пытаются избежать ответственности в своей стране.