- 13,848
- 20
- 8 Ноя 2022
Хакеры раз за разом обходят модерацию Google, публикуя зловредные приложения. Как им это удаётся?
В ноябре прошлого года исследователи обнаружили расширение вредоносной активности Android -трояна под названием Anatsa на территорию Словакии, Словении и Чехии. Расширение является частью новой кампании, в ходе которой, несмотря на Для просмотра ссылки Войдиили Зарегистрируйся , внедряемые в Google Play , некоторые вредоносные загрузчики успешно эксплуатировали службу специальных возможностей Android.
Для просмотра ссылки Войдиили Зарегистрируйся компания ThreatFabric , все используемые в данной зловредной кампании загрузчики безо всяких проблем справляются со своей задачей, обходя системные ограничения Android 13. Всего в кампании задействовано пять загрузчиков с общим числом установок более 100 тысяч.
Троян Anatsa, также известный как TeaBot и Toddler, распространяется через совершенно безвредные, на первый взгляд, приложения в Play Store. После установки и запуска троян способен полностью контролировать заражённые устройства и совершать различные действия от имени жертвы, включая кражу учётных данных для проведения мошеннических операций.
Одна из версий программы-загрузчика, замаскированная под приложение для очистки системы «Phone Cleaner — File Explorer», использовала технику управления версиями для внедрения вредоносного кода. То есть, сначала выгруженное в Google Play приложение не содержало какого-либо вредоносного кода. Весь зловредный функционал был добавлен уже с последующими обновлениями, когда тщательная модерация кода со стороны Google, фактически, больше не производится.
Чтобы избежать обнаружения после внедрения вредоносного функционала, злоумышленники использовали многоэтапный процесс заражения. Загрузчик динамически подгружал конфигурацию и полезную нагрузку с C2 -сервера, что позволяло хакерам в любой момент изменять вредоносные компоненты по своему желанию.
Несмотря на то, что приложение «Phone Cleaner — File Explorer» больше недоступно в официальном Play Store, его всё ещё можно скачать через сторонние источники. Для просмотра ссылки Войдиили Зарегистрируйся AppBrain, приложение было загружено около 12 000 раз в период между 13 и 27 ноября, прежде чем было удалено.
ThreatFabric отмечает предпочтение злоумышленников концентрировать свои атаки на определённых географических регионах, что приводит к большому числу случаев мошенничества в короткие сроки.
После выхода отчёта ThreatFabric представители Google сообщили, что удалили все приложения, идентифицированные исследователями, а именно:
Google отмечает, что пользователи Android теперь автоматически защищены от известных версий вредоносного ПО Anatsa благодаря функции Play Protect, которая по умолчанию включена на всех устройствах с сервисами Google.
Функция Play Protect может предупреждать пользователей и блокировать приложения, известные своим вредоносным поведением, даже если они поступают не из официального магазина Play Store.
Но даже несмотря на то, что угроза миновала, а защитные меры Google постоянно улучшаются, — расслабляться всё же не стоит. Чтобы не стать одной из жертв похожего вредоносного ПО, никогда не устанавливайте сомнительные приложения от неизвестных издателей, а также внимательно обращайте внимание на требуемые разрешения. Доступ к службе специальных возможностей и вовсе должен стать для вас лакмусовой бумажкой, если приложение запрашивает такие полномочия, оно скорее всего вредоносное.
В ноябре прошлого года исследователи обнаружили расширение вредоносной активности Android -трояна под названием Anatsa на территорию Словакии, Словении и Чехии. Расширение является частью новой кампании, в ходе которой, несмотря на Для просмотра ссылки Войди
Для просмотра ссылки Войди
Троян Anatsa, также известный как TeaBot и Toddler, распространяется через совершенно безвредные, на первый взгляд, приложения в Play Store. После установки и запуска троян способен полностью контролировать заражённые устройства и совершать различные действия от имени жертвы, включая кражу учётных данных для проведения мошеннических операций.
Одна из версий программы-загрузчика, замаскированная под приложение для очистки системы «Phone Cleaner — File Explorer», использовала технику управления версиями для внедрения вредоносного кода. То есть, сначала выгруженное в Google Play приложение не содержало какого-либо вредоносного кода. Весь зловредный функционал был добавлен уже с последующими обновлениями, когда тщательная модерация кода со стороны Google, фактически, больше не производится.
Чтобы избежать обнаружения после внедрения вредоносного функционала, злоумышленники использовали многоэтапный процесс заражения. Загрузчик динамически подгружал конфигурацию и полезную нагрузку с C2 -сервера, что позволяло хакерам в любой момент изменять вредоносные компоненты по своему желанию.
Несмотря на то, что приложение «Phone Cleaner — File Explorer» больше недоступно в официальном Play Store, его всё ещё можно скачать через сторонние источники. Для просмотра ссылки Войди
ThreatFabric отмечает предпочтение злоумышленников концентрировать свои атаки на определённых географических регионах, что приводит к большому числу случаев мошенничества в короткие сроки.
После выхода отчёта ThreatFabric представители Google сообщили, что удалили все приложения, идентифицированные исследователями, а именно:
- Phone Cleaner - File Explorer (com.volabs.androidcleaner)
- PDF Viewer - File Explorer (com.xolab.fileexplorer)
- PDF Reader - Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
- Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
- PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Google отмечает, что пользователи Android теперь автоматически защищены от известных версий вредоносного ПО Anatsa благодаря функции Play Protect, которая по умолчанию включена на всех устройствах с сервисами Google.
Функция Play Protect может предупреждать пользователей и блокировать приложения, известные своим вредоносным поведением, даже если они поступают не из официального магазина Play Store.
Но даже несмотря на то, что угроза миновала, а защитные меры Google постоянно улучшаются, — расслабляться всё же не стоит. Чтобы не стать одной из жертв похожего вредоносного ПО, никогда не устанавливайте сомнительные приложения от неизвестных издателей, а также внимательно обращайте внимание на требуемые разрешения. Доступ к службе специальных возможностей и вовсе должен стать для вас лакмусовой бумажкой, если приложение запрашивает такие полномочия, оно скорее всего вредоносное.
- Источник новости
- www.securitylab.ru
