Аналитики ThreatFabric обнаружили в официальном магазине Google Play пять вредоносных приложений-дропперов, суммарно загруженных более 130 000 раз и распространяющих банковские трояны.
Исследователи отмечают, что дропперы для Android продолжают эволюционировать, предлагая хакерам удобный и скрытый путь для заражения устройств:
«Обнаруженные дропперы продолжают непрерывную эволюцию вредоносных приложений, проникающих в официальный магазин. Эта эволюция включает в себя следование недавно введенным политикам и маскировку под файловые менеджеры, а также преодоление ограничений путем боковой загрузки вредоносных полезных нагрузок через браузер».
Целью недавно обнаруженных вредоносов стало 231 банковское и криптовалютное приложение финансовых учреждений в Италии, Великобритании, Германии, Испании, Польше, Австрии, США, Австралии, Франции и Нидерландах.
В своем отчете эксперты перечисляют следующие вредоносные приложения:
- Codice Fiscale 2022 (com.iatalytaxcode.app): 10 000+ загрузок;
- File Manager Small, Lite (com.paskevicss752.usurf): нет загрузок;
- My Finances Tracker (com.all.finance.plus): 1000+ загрузок;
- Recover Audio, Images & Videos (com.umac.recoverallfilepro): 100 000+ загрузок;
- Zetter Authenticator (com.zetter.fastchecking): 10 000+ загрузок.
Первая кампания, обнаруженная Threat Fabric в начале октября 2022 года, распространяла банкер SharkBot среди итальянских пользователей. Этот вредонос способен похищать учетные данные с помощью поддельных запросов входа в систему, наложенных прямо на легитимные формы входа, выполнять кейлоггинг, воровать и скрывать от пользователя SMS-сообщения, а также получать удаленный контроль над зараженным устройством.
Для SharkBot исследователи обнаружили два приложения-дроппера: Codice Fiscale 2022 и File Manager Small, Lite. Когда пользователь устанавливал эти приложения, вскоре они предлагали ему установить поддельное обновление, которое на самом деле устанавливало трояна.
Интересно, что обычно при установке дополнительных пакетов с удаленного сервера Google требует, чтобы приложения запрашивали разрешение REQUEST_INSTALL_PACKAGES. Но более новые версии Android предупреждают об опасности выдачи такого разрешения, и преступникам становится сложнее убедить пользователей установить «обновление». Поэтому найденный исследователями дроппер попросту открывает веб-страницу, которая выглядит как Google Play, обманом заставляя пользователя нажать кнопку «Обновить» в браузере и обходя необходимость в этом разрешении.
Вторая вредоносная кампания была связана с банковским трояном Vultur, который управляется хак-группой известной как Brunhilda Project. Vultur способен выполнять самые разные действия на зараженном устройстве, включая стриминг всего происходящего на экране, а также кейлоггинг для социальных сетей и мессенджеров.
Новый вариант Vultur, распространяемый в рамках этой кампании, также обладал ранее неизвестной функциональностью UI-логгинга, записи кликов, жестов и любых действий, осуществляемых жертвой на устройстве. В Threat Fabric полагают, что разработчики малвари добавили эту функциональность, чтобы обойти ограничения безопасности Android, которые предотвращают отображение содержимого определенных окон приложений на скриншотах и скринкастах.
Этого трояна распространяли приложения Recover Audio, Images & Videos, Zetter Authentication и My Finances Tracker. Равно как и дропперы SharkBot, эти дропперы тоже показывают жертве запрос на установку фейкового обновления, замаскированный под уведомление от Google Play. Если пользователь разрешит установку «обновления», оно загрузит и установит вредоносное ПО.
Чтобы избежать обнаружения и обойти проверки Google Play Store, дропперы не содержатся в приложениях сразу, но загружаются динамически с помощью файла dex, который приходит с управляющего сервера злоумышленников. Кроме того, дропперы используют шифрование AES для обфускации, чтобы скрыть функции от автоматических сканеров.
«Распространение через дропперы в Google Play по-прежнему остается самым “доступным” и масштабируемым способом добраться до жертв для большинства злоумышленников разного уровня, — заключают эксперты. — Тогда как более сложные тактики, включая телефонные атаки, требуют больше ресурсов и их трудно масштабировать, дропперы в официальных и сторонних магазинах приложений позволяют злоумышленникам охватить широкую и ничего не подозревающую аудиторию».
