Google еще не удалил два приложения, зараженные опасными вредоносными программами, которые в настоящее время все еще доступны для загрузки в официальном магазине Google Play.
Эти приложения называются « Earn Real Money Gift Cards » – приложение для выигрыша подарочных карт, устанавливая другие приложения на свой телефон – и « Bubble Shooter Wild Life » – мобильная игра. Оба приложения были разработаны и недавно загружены в Play Store одним и тем же разработчиком по имени Boris Block.
Приложения были сначала замечены исследователями безопасности из SfyLabs, а затем командой Zscaler. Обе компании заявили, что проинформировали Google. На момент написания оба приложения все еще доступны в Play Store, но у них по-прежнему мало установок – менее 5000 загрузок.
Первое приложение поставляется с хорошо известной угрозой
Первое приложение заражено вредоносной программой BankBot, а второе представляет собой «дроппер» – тип вредоносной программы, используемый для установки других вредоносных программ по инструкциям удаленного командно-управляющего сервера.
BankBot – это мобильный банковский троян, просочившийся в сеть в декабре прошлого года и принятый несколькими авторами вредоносных программ. Троян известен своей способностью обходить проверки безопасности Google и размещать его в Play Store.
По словам Дженгиза Хана Сахина, соучредителя SfyLabs, это седьмая волна вредоносных программ BankBot, попавших в официальный магазин Google Play.
Новое вредоносное ПО уникальным образом злоупотребляет функцией доступности
Второе приложение включает в себя ранее неизвестный загрузчик вредоносных программ. И SfyLabs, и Zscaler отмечают, что этот образец вредоносного ПО уникален.
Их внимание привлекло то, как это второе приложение – Bubble Shooter Wild Life – злоупотребляет функцией специальных возможностей Android.
К настоящему времени ни для кого не секрет, что большое количество недавно созданных штаммов вредоносных программ пытаются обманом заставить пользователей предоставить доступ к функции специальных возможностей. Это популярная тенденция вредоносных программ для Android.
До сих пор вредоносное ПО использовало функцию доступности для имитации касаний пользователя и предоставления себе доступа к отдельной учетной записи администратора, которую оно использует для тайного контроля над телефоном пользователя.
Ниже приведено видео от исследователя безопасности ESET Лукаса Стефанко, в котором показано, как вредоносные программы злоупотребляют функцией специальных возможностей для получения прав администратора.
Один из самых последних случаев, когда мы видели, как вредоносное ПО злоупотребляет функцией доступности для получения прав администратора, – это банковский троян Svpeng, который недавно был выставлен на продажу на подпольном хакерском форуме.
Что отличает приложение «Bubble Shooter Wild Life», так это то, что содержащееся внутри вредоносное ПО использует функцию специальных возможностей для включения опции «Установка из неизвестных источников» и установки другого приложения.
«Это определенно меняет правила игры», – сказал Сахин Bleeping Computer об этой новой проблеме, связанной с тем, как мошенники злоупотребляли функцией доступности.
Сканирование безопасности Google снова обмануто
Оба SfyLabs и Zscaler исследователи отмечают в отдельных отчетах , что операция на вредоносное ПО часто терпит неудачу на разных этапах, различные в каждом анализе. Это заставило обе исследовательские группы полагать, что это вредоносное ПО в настоящее время все еще находится в стадии разработки.
Тем не менее, этот метод сейчас является общественным достоянием и, несомненно, будет скопирован другими разработчиками вредоносных программ для Android и добавлен в их арсеналы вредоносных программ.
Если вам интересно узнать, как оба этих приложения попали в Play Store, ответ прост и предполагает отсрочку любых вредоносных операций на более поздний срок. Оба штамма вредоносных программ ждут 20 минут перед выполнением каких-либо вредоносных действий, к этому времени Google завершил сканирование безопасности и одобрил включение приложения в свой Play Store. Тот же самый трюк уже более года используется множеством штаммов вредоносных программ, и вызывает беспокойство то, что Google не нашел способа противодействовать этому.
По материалам – https://yrodu.ru/