За последние месяцы более 300 000 пользователей загрузили малварь из Play Store - «Новости»
- 10:30, 01-дек-2021
- Новости / Самоучитель CSS / Изображения / Преимущества стилей / Текст / Заработок
- Анфиса
- 0
Эксперты компании ThreatFabric обнаружили, что банковские трояны, распространяющиеся через Google Play Store, заразили более 300 000 устройств. Малварь маскировалась под работающие сканеры QR-кодов, PDF-сканеры, приложения для фитнеса и двухфакторной аутентификации.
Проникнув на устройство, банкеры пытались похитить учетные данные пользователей, когда те входили в приложения. Кража учетных данных обычно осуществлялась с помощью оверлеев, отображаемых поверх настоящего экрана входа.
Исследователи пишут, что обнаружили четыре вредоносных кампании по распространению банковских троянов через Google Play Store. Причем недавние изменения в политике Google и усиление контроля за приложениями вынудили злоумышленников изменить тактику и эффективнее избежать обнаружения.
В частности, теперь хакеры создают реалистично выглядящие приложения на самые разные темы, включая фитнес, криптовалюту, сканеры QR-кодов, работу с PDF и так далее. Более того, они создают таким фейкам сайты, соответствующие тематике приложения, чтобы малвари было легче пройти проверки Google. Также ThreatFabric отмечает, что часто такие приложения распространяются только в определенных регионах или становятся вредоносными лишь со временем.
«Наблюдение со стороны Google вынудило хакеров искать способы лучшей маскировки приложений-дропперов. Помимо улучшения самого кода вредоносного кода, кампании по распространению вредоносного ПО в Google Play тоже стали более совершенными. Например, в течение длительного времени в Google Play внедряют тщательно спланированные и небольшие обновления, содержащие вредоносный код, а также управляющий бэкэнда дроппера может полностью соответствовать тематике приложения-дроппера (например, работающий фитнес-сайт для приложения, ориентированного на тренировки)», — рассказывают эксперты.
После установки такое приложение тихо обменивается данными с сервером злоумышленников в ожидании команд. В нужное время сервер велит приложению выполнить фейковое «обновление», которое в итоге загрузит и запустит на устройстве малварь.
Начиная с июля 2021 года вредоносные приложения распространяют четыре банковских трояна: Alien, Hydra, Ermac и Anatsa.
За эти месяцы дропперы были суммарно скачаны и установлены более 300 000 раз, а некоторые приложения успели набрать более 50 000 установок.
Название приложения | Имя пакета |
Two Factor Authenticator | com.flowdivison |
Protection Guard | com.protectionguard.app |
QR CreatorScanner | com.ready.qrscanner.mix |
Master Scanner Live | com.multifuction.combine.qr |
QR Scanner 2021 | com.qr.code.generate |
QR Scanner | com.qr.barqr.scangen |
PDF Document Scanner – Scan to PDF | com.xaviermuches.docscannerpro2 |
PDF Document Scanner | com.docscanverifier.mobile |
PDF Document Scanner Free | com.doscanner.mobile |
CryptoTracker | cryptolistapp.app.com.cryptotracker |
Gym and Fitness Trainer | com.gym.trainer.jeux |
Также известно какие именно трояны скрывались в тех или иных приложениях:
- Master Scanner Live — Alien;
- Gym and Fitness Trainer — Alien;
- PDF AI : TEXT RECOGNIZER — Anatsa;
- QR CreatorScanner — Hydra;
- QR CreatorScanner — Ermac.
Распространяемая таким способом малварь атаковала 537 различных приложений, связанных с банковской сферой, электронными кошельками, криптовалютой и почтой. В частности, целями хакеров были учетные данные для Gmail, Chase, Citibank, HSBC, Coinbase, Kraken, Binance, KuCoin, CashApp, Zelle, TrustWallet, MetaMask и так далее.
В настоящее время специалисты Google уже удалили все опасные приложения из Play Store, и советуют пользователям как можно скорее удалить их со своих устройств.
Комментарии (0)