Ранее на этой неделе специалисты компании «Доктор Веб» сообщили, что обнаружили в каталоге приложений Google Play девять вредоносных программ, которые незаметно открывают на зараженных устройствах сайты, переходят по расположенным на них рекламным ссылкам и баннерам, а также накручивают посещаемость различных интернет-ресурсов.

Теперь о другой, самой разнообразной малвари в Google Play также рассказали и аналитики компаний Malwarebytes, McAfee и ESET.

Grabos показывает фальшивые уведомления

Судя по всему, самое масштабное заражение выявили исследователи McAfee. Они отчитались об обнаружении в официальном каталоге 144 зараженных приложений, большинство из которых маскируются под различные аудиоплееры для проигрывания файлов MP3.

Специалисты пишут, что 34 из 144 приложений были загружены от 4,2 до 17,4 млн раз.

Все найденные приложения содержали малварь Grabos, предназначенную в первую очередь для отображения на зараженных устройствах фальшивых уведомлений. Такие сообщения обманом вынуждают пользователей загружать и устанавливать дополнительные приложения. Исследователи полагают, что операторы Grabos зарабатывают по схеме pay-per-install, то есть получают деньги за каждую установку дополнительной программы.

AsiaHitGroup атакует азиатских пользователей

Аналитики Malwarebytes нашли в Google Play приложения, зараженные трояном AsiaHitGroup. Такое имя малварь получила неслучайно, дело в том, что вредонос использует черные списки IP-адресов и атакует исключительно пользователей из азиатских стран.

Изначально AsiaHitGroup  был обнаружен в составе сканера QR-кодов Qr code generator – Qr scanner, но затем вредонос был замечен и в других приложениях, названия которых не раскрываются. В число зараженных программ вошли  фоторедакторы, будильники, компасы, файловые менеджеры, приложения для изменения скорости интернета и так далее.

По данным исследователей Malwarebytes, основная задача AsiaHitGroup — загрузить на устройство SMS-трояна, который подписывает жертв на платные сервисы посредством текстовых сообщений.

Trojan Dropper распространяет банкера MazarBot

Исследователи компании ESET, в свою очередь, обнаружили в Google Play восемь приложений, зараженных трояном Android/TrojanDropper.Agent.BKY.

По данным специалистов, эта малварь использует многоступенчатую архитектуру и шифрование, чтобы не попадать «на радары» специалистов и оставаться невидимой для защитных решений. К примеру, сразу после загрузки зараженные приложения не запрашивают каких-либо подозрительных прав и действительно демонстрируют пользователю обещанную функциональность, какой бы та ни была.

Однако при этом вредоносное приложение незаметно дешифрует и запускает на фоне пейлоад, который, в свою очередь, расшифровывает и запускает еще один пейлоад. На этом этапе задействуется жестко закодированный URL-адрес и происходит загрузка третьего пейлоада — приложения, установку которого через несколько минут предлагают одобрить пользователю.

Приложение, загруженное во время третьей фазы атаки, как правило, маскируется под Adobe Flash Player или другое легитимное ПО, название которого будет звучать знакомо и понятно для жертвы (Android Update, Adobe Update и так далее).

Если пользователь согласится установить фальшивку и предоставит ей все необходимые привилегии, атака перейдет в четвертую, финальную стадию. Финальным пейлоадом, который скачает «Adobe», станет банковский троян или спайварь. В частности, исследователи зафиксировали, что таким образом распространяется известный мобильный банкер MazarBot.

К счастью, от этой вредоносной кампании пострадали лишь несколько сотен или тысяч человек, так как операцию злоумышленников удалось обнаружить на ранней стадии.

Статистика обращений к ссылке для загрузки финального пейлоада

1 комментарий

  1. john_

    20.11.2017 at 06:44

    Хитрая многоходовочка.

Оставить мнение