За последние месяцы более 300 000 пользователей загрузили малварь из Play Store - «Новости»

  • 10:30, 01-дек-2021
  • Новости / Самоучитель CSS / Изображения / Преимущества стилей / Текст / Заработок
  • Анфиса
  • 0

Эксперты компании ThreatFabric обнаружили, что банковские трояны, распространяющиеся через Google Play Store, заразили более 300 000 устройств. Малварь маскировалась под работающие сканеры QR-кодов, PDF-сканеры, приложения для фитнеса и двухфакторной аутентификации.





Проникнув на устройство, банкеры пытались похитить учетные данные пользователей, когда те входили в приложения. Кража учетных данных обычно осуществлялась с помощью оверлеев, отображаемых поверх настоящего экрана входа.


Исследователи пишут, что обнаружили четыре вредоносных кампании по распространению банковских троянов через Google Play Store. Причем недавние изменения в политике Google и усиление контроля за приложениями вынудили злоумышленников изменить тактику и эффективнее избежать обнаружения.


В частности, теперь хакеры создают реалистично выглядящие приложения на самые разные темы, включая фитнес, криптовалюту, сканеры QR-кодов, работу с  PDF и так далее. Более того, они создают таким фейкам сайты, соответствующие тематике приложения, чтобы малвари было легче пройти проверки Google. Также ThreatFabric отмечает, что часто такие приложения распространяются только в определенных регионах или становятся вредоносными лишь со временем.


«Наблюдение со стороны Google вынудило хакеров искать способы лучшей маскировки приложений-дропперов. Помимо улучшения самого кода вредоносного кода, кампании по распространению вредоносного ПО в Google Play тоже стали более совершенными. Например, в течение длительного времени в Google Play внедряют тщательно спланированные и небольшие обновления, содержащие вредоносный код, а также управляющий бэкэнда дроппера может полностью соответствовать тематике приложения-дроппера (например, работающий фитнес-сайт для приложения, ориентированного на тренировки)», — рассказывают эксперты.


После установки такое приложение тихо обменивается данными с сервером злоумышленников в ожидании команд. В нужное время сервер велит приложению  выполнить фейковое «обновление», которое в итоге загрузит и запустит на устройстве малварь.


Начиная с июля 2021 года вредоносные приложения распространяют четыре банковских трояна: Alien, Hydra, Ermac и Anatsa.





За эти месяцы дропперы были суммарно скачаны и установлены более 300 000 раз, а некоторые приложения успели набрать более 50 000 установок.























































Название приложенияИмя пакета
Two Factor Authenticatorcom.flowdivison
Protection Guardcom.protectionguard.app
QR CreatorScannercom.ready.qrscanner.mix
Master Scanner Livecom.multifuction.combine.qr
QR Scanner 2021com.qr.code.generate
QR Scannercom.qr.barqr.scangen
PDF Document Scanner – Scan to PDFcom.xaviermuches.docscannerpro2
PDF Document Scannercom.docscanverifier.mobile
PDF Document Scanner Freecom.doscanner.mobile
CryptoTrackercryptolistapp.app.com.cryptotracker
Gym and Fitness Trainercom.gym.trainer.jeux



Также известно какие именно трояны скрывались в тех или иных приложениях:



  • Master Scanner Live — Alien;

  • Gym and Fitness Trainer — Alien;

  • PDF AI : TEXT RECOGNIZER — Anatsa;

  • QR CreatorScanner — Hydra;

  • QR CreatorScanner — Ermac.


Распространяемая таким способом малварь атаковала 537 различных приложений, связанных с банковской сферой, электронными кошельками, криптовалютой и почтой. В частности, целями хакеров были учетные данные для Gmail, Chase, Citibank, HSBC, Coinbase, Kraken, Binance, KuCoin, CashApp, Zelle, TrustWallet, MetaMask и так далее.





В настоящее время специалисты Google уже удалили все опасные приложения из Play Store, и советуют пользователям как можно скорее удалить их со своих устройств.


Эксперты компании ThreatFabric обнаружили, что банковские трояны, распространяющиеся через Google Play Store, заразили более 300 000 устройств. Малварь маскировалась под работающие сканеры QR-кодов, PDF-сканеры, приложения для фитнеса и двухфакторной аутентификации. Проникнув на устройство, банкеры пытались похитить учетные данные пользователей, когда те входили в приложения. Кража учетных данных обычно осуществлялась с помощью оверлеев, отображаемых поверх настоящего экрана входа. Исследователи пишут, что обнаружили четыре вредоносных кампании по распространению банковских троянов через Google Play Store. Причем недавние изменения в политике Google и усиление контроля за приложениями вынудили злоумышленников изменить тактику и эффективнее избежать обнаружения. В частности, теперь хакеры создают реалистично выглядящие приложения на самые разные темы, включая фитнес, криптовалюту, сканеры QR-кодов, работу с PDF и так далее. Более того, они создают таким фейкам сайты, соответствующие тематике приложения, чтобы малвари было легче пройти проверки Google. Также ThreatFabric отмечает, что часто такие приложения распространяются только в определенных регионах или становятся вредоносными лишь со временем. «Наблюдение со стороны Google вынудило хакеров искать способы лучшей маскировки приложений-дропперов. Помимо улучшения самого кода вредоносного кода, кампании по распространению вредоносного ПО в Google Play тоже стали более совершенными. Например, в течение длительного времени в Google Play внедряют тщательно спланированные и небольшие обновления, содержащие вредоносный код, а также управляющий бэкэнда дроппера может полностью соответствовать тематике приложения-дроппера (например, работающий фитнес-сайт для приложения, ориентированного на тренировки)», — рассказывают эксперты. После установки такое приложение тихо обменивается данными с сервером злоумышленников в ожидании команд. В нужное время сервер велит приложению выполнить фейковое «обновление», которое в итоге загрузит и запустит на устройстве малварь. Начиная с июля 2021 года вредоносные приложения распространяют четыре банковских трояна: Alien, Hydra, Ermac и Anatsa. За эти месяцы дропперы были суммарно скачаны и установлены более 300 000 раз, а некоторые приложения успели набрать более 50 000 установок. Название приложения Имя пакета Two Factor Authenticator com.flowdivison Protection Guard com.protectionguard.app QR CreatorScanner com.ready.qrscanner.mix Master Scanner Live com.multifuction.combine.qr QR Scanner 2021 com.qr.code.generate QR Scanner com.qr.barqr.scangen PDF Document Scanner – Scan to PDF com.xaviermuches.docscannerpro2 PDF Document Scanner com.docscanverifier.mobile PDF Document Scanner Free com.doscanner.mobile CryptoTracker cryptolistapp.app.com.cryptotracker Gym and Fitness Trainer com.gym.trainer.jeux Также известно какие именно трояны скрывались в тех или иных приложениях: Master Scanner Live — Alien; Gym and Fitness Trainer — Alien; PDF AI : TEXT RECOGNIZER — Anatsa; QR CreatorScanner — Hydra; QR CreatorScanner — Ermac. Распространяемая таким способом малварь атаковала 537 различных приложений, связанных с банковской сферой, электронными кошельками, криптовалютой и почтой. В частности, целями хакеров были учетные данные для Gmail, Chase, Citibank, HSBC, Coinbase, Kraken, Binance, KuCoin, CashApp, Zelle, TrustWallet, MetaMask и так далее. В настоящее время специалисты Google уже удалили все опасные приложения из Play Store, и советуют пользователям как можно скорее удалить их со своих устройств.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!