Аналитики компании Wandera обнаружили в Google Play вредоносную игру Scary Granny ZOMBYE Mod: The Horror Game 2019, установленную более 50 000 раз. По сути, малварь паразитировала на другой популярной Android-игре, Granny, которая насчитывает свыше 100 млн установок.
Вредонос представляет собой полностью работающую игру и тем самым отвлекает внимание своих жертв. Хуже того, вредоносная функциональность приложения начинает действовать лишь через два дня после его установки. То есть пока пользователь увлечен хоррором, приложение занимается хищением его личных данных.
Модули для кражи данных начинают работать лишь в том случае, если малварь имеет дело со старыми версиями Android. При установке на такое устройство Scary Granny попросит у пользователя права на запуск после перезагрузки смартфона или планшета (RECEIVE_BOOT_COMPLETED).
В итоге игра получает возможность отображать полноэкранные фишинговые оверлеи (даже после того, как пользователи перезагружают свои устройства). Так, малварь сначала показывает жертве фейковое уведомление, информирующее о необходимости срочно обновить службы безопасности Google. Если пользователь нажимает на предложенную кнопку «Обновить», ему показывают поддельную страницу входа в Google, которая выглядит весьма убедительно (не считая того, что sign in написано с ошибкой).
Если жертва не заметила подмены, и учетные данные от аккаунта Google попали в руки злоумышленников, игра начнет собирать другую информацию, в том числе, email и номера телефонов для восстановления, коды подтверждения, даты рождения, а также файлы cookie и токены.
Анализ сетевого трафика игры выявил, что вредонос также входит в учетные записи жертв с помощью встроенного браузера, собирает и передает своим операторам файлы cookie и ID сессий.
Чтобы скрыть свою активность, игра использует обфусуированные компоненты, которые маскируются под легитимные приложения. Например, пакет com.googles.android.gms это имитация легитимного com.google.android.gms.
Также Scary Granny отображает рекламу, скрытую от пользователя под видом других приложений (в том числе Amazon, Facebook, Facebook Lite, HaGo, Hulu, Instagram, Messenger, Pinterest, Snapchat, TikTok или Zalo). Так, эксперты заметили, что при просмотре всех запущенных приложений на устройстве можно обнаружить открытые приложения Facebook и Amazon, хотя на самом деле это лишь были реклама, замаскированная под них.
Исследователи не нашли весомых доказательств того, что реклама Scary Granny использовалась для перенаправления жертв по вредоносным адресам или для распространения других опасных приложений. Однако в одном случае реклама перенаправляла пользователей на страницу, которую Google считает потенциально опасной (то есть фишинговой или вводящей в заблуждение).
