Аналитики ThreatFabric
в официальном магазине Google Play пять вредоносных приложений-дропперов, суммарно загруженных более 130 000 раз и распространяющих банковские трояны.
Исследователи отмечают, что дропперы для Android продолжают эволюционировать, предлагая хакерам удобный и скрытый путь для заражения устройств:
Целью недавно обнаруженных вредоносов стало 231 банковское и криптовалютное приложение финансовых учреждений в Италии, Великобритании, Германии, Испании, Польше, Австрии, США, Австралии, Франции и Нидерландах.
В своем отчете эксперты перечисляют следующие вредоносные приложения:
Для SharkBot исследователи обнаружили два приложения-дроппера: Codice Fiscale 2022 и File Manager Small, Lite. Когда пользователь устанавливал эти приложения, вскоре они предлагали ему установить поддельное обновление, которое на самом деле устанавливало трояна.
Интересно, что обычно при установке дополнительных пакетов с удаленного сервера Google требует, чтобы приложения запрашивали разрешение . Но более новые версии Android предупреждают об опасности выдачи такого разрешения, и преступникам становится сложнее убедить пользователей установить «обновление». Поэтому найденный исследователями дроппер попросту открывает веб-страницу, которая выглядит как Google Play, обманом заставляя пользователя нажать кнопку «Обновить» в браузере и обходя необходимость в этом разрешении.
Вторая вредоносная кампания была связана с банковским трояном Vultur, который управляется хак-группой известной как Brunhilda Project. Vultur способен выполнять самые разные действия на зараженном устройстве, включая стриминг всего происходящего на экране, а также кейлоггинг для социальных сетей и мессенджеров.
Новый вариант Vultur, распространяемый в рамках этой кампании, также обладал ранее неизвестной функциональностью UI-логгинга, записи кликов, жестов и любых действий, осуществляемых жертвой на устройстве. В Threat Fabric полагают, что разработчики малвари добавили эту функциональность, чтобы обойти ограничения безопасности Android, которые предотвращают отображение содержимого определенных окон приложений на скриншотах и скринкастах.
Этого трояна распространяли приложения Recover Audio, Images & Videos, Zetter Authentication и My Finances Tracker. Равно как и дропперы SharkBot, эти дропперы тоже показывают жертве запрос на установку фейкового обновления, замаскированный под уведомление от Google Play. Если пользователь разрешит установку «обновления», оно загрузит и установит вредоносное ПО.
Чтобы избежать обнаружения и обойти проверки Google Play Store, дропперы не содержатся в приложениях сразу, но загружаются динамически с помощью файла dex, который приходит с управляющего сервера злоумышленников. Кроме того, дропперы используют шифрование AES для обфускации, чтобы скрыть функции от автоматических сканеров.
Исследователи отмечают, что дропперы для Android продолжают эволюционировать, предлагая хакерам удобный и скрытый путь для заражения устройств:
Целью недавно обнаруженных вредоносов стало 231 банковское и криптовалютное приложение финансовых учреждений в Италии, Великобритании, Германии, Испании, Польше, Австрии, США, Австралии, Франции и Нидерландах.
В своем отчете эксперты перечисляют следующие вредоносные приложения:
- Codice Fiscale 2022 (com.iatalytaxcode.app): 10 000+ загрузок;
- File Manager Small, Lite (com.paskevicss752.usurf): нет загрузок;
- My Finances Tracker (com.all.finance.plus): 1000+ загрузок;
- Recover Audio, Images & Videos (com.umac.recoverallfilepro): 100 000+ загрузок;
- Zetter Authenticator (com.zetter.fastchecking): 10 000+ загрузок.
Для SharkBot исследователи обнаружили два приложения-дроппера: Codice Fiscale 2022 и File Manager Small, Lite. Когда пользователь устанавливал эти приложения, вскоре они предлагали ему установить поддельное обновление, которое на самом деле устанавливало трояна.
Интересно, что обычно при установке дополнительных пакетов с удаленного сервера Google требует, чтобы приложения запрашивали разрешение . Но более новые версии Android предупреждают об опасности выдачи такого разрешения, и преступникам становится сложнее убедить пользователей установить «обновление». Поэтому найденный исследователями дроппер попросту открывает веб-страницу, которая выглядит как Google Play, обманом заставляя пользователя нажать кнопку «Обновить» в браузере и обходя необходимость в этом разрешении.
Вторая вредоносная кампания была связана с банковским трояном Vultur, который управляется хак-группой известной как Brunhilda Project. Vultur способен выполнять самые разные действия на зараженном устройстве, включая стриминг всего происходящего на экране, а также кейлоггинг для социальных сетей и мессенджеров.
Новый вариант Vultur, распространяемый в рамках этой кампании, также обладал ранее неизвестной функциональностью UI-логгинга, записи кликов, жестов и любых действий, осуществляемых жертвой на устройстве. В Threat Fabric полагают, что разработчики малвари добавили эту функциональность, чтобы обойти ограничения безопасности Android, которые предотвращают отображение содержимого определенных окон приложений на скриншотах и скринкастах.
Этого трояна распространяли приложения Recover Audio, Images & Videos, Zetter Authentication и My Finances Tracker. Равно как и дропперы SharkBot, эти дропперы тоже показывают жертве запрос на установку фейкового обновления, замаскированный под уведомление от Google Play. Если пользователь разрешит установку «обновления», оно загрузит и установит вредоносное ПО.
Чтобы избежать обнаружения и обойти проверки Google Play Store, дропперы не содержатся в приложениях сразу, но загружаются динамически с помощью файла dex, который приходит с управляющего сервера злоумышленников. Кроме того, дропперы используют шифрование AES для обфускации, чтобы скрыть функции от автоматических сканеров.
