От Google Play бяха премахнати 77 опасни приложения — те са били изтеглени 19 милиона пъти
Седемдесет и седем злонамерени приложения за Android с сбор съоръжения над 19 милиона са открити в Гугъл Play и след това са отстранени. Заплахата е открита от експертите на изследователската група Zscaler ThreatLabs, до момента в който са анализирали нова вълна от инфекции, свързани с банковия троянец Anatsa (известен още като Tea Bot).
Анализът демонстрира, че над 66% от злонамерените приложения съдържат рекламни съставни елементи, само че най-често срещаният тип злотворен програмен продукт е троянският кон Joker, открит в съвсем 25% от тестваните приложения, написа BleepingComputer. След като бъде конфигуриран, Joker получава достъп до четене и изпращане на SMS, може да прави екранни фотоси, да реализира повиквания, да копира описи с контакти, да събира данни за устройствата и автоматизирано да се причислява към платени абонаменти.
Някои от приложенията попадат в категорията maskware – злотворен програмен продукт, който наподобява и работи съгласно описанието, само че във фонов режим краде идентификационни данни, банкова информация, данни за местоположението и SMS, а също по този начин може да изтегля и спомагателни злонамерени модули.
Изследователите на Zscaler са разкрили и вид на троянския кон Joker, наименуван Harly, който за разлика от класическия Joker не изтегля злотворен код от сървъра, а го съхранява вътре в APK-файла в криптирана форма — да вземем за пример в запаси или вградена библиотека. Това му разрешава да заобиколи инспекцията в Гугъл Play. Според отчет на Human Security, Harly се маскира като известните приложения — игри, тапети, фенерчета и фоторедактори — и към този момент е съумял да проникне в магазина с десетки сходни изтегляния.
Най-новата версия на троянския кон Anatsa разшири листата с целеви приложения: в този момент той нападна 831 банкови и криптовалутни приложения, до момента в който преди този момент броят им беше 650. В същото време нападателите са употребявали приложението Document Reader – File Manager като примамка: след инсталиране то изтегля злонамерения модул Anatsa, заобикаляйки инспекцията на кода.
Anatsa употребява развалени APK-архиви, с цел да се прикрие, което нарушава статичния разбор, а също се криптира въз основата на DES в режим на осъществяване, разкриване на емулатор и постоянна смяна на имената и хешовете на пакетите. Троянският кон злоупотребява с разрешенията на услугата за досегаемост, като автоматизирано си дава разширени привилегии. Той изтегля фишинг формуляри от своя сървър за повече от 831 услуги, в това число приложения от Германия и Южна Корея, и е оборудван с модул за кейлогър за събиране на случайни данни.
Изследователят на Zscaler Химаншу Шарма отбелязва, че екипът на ThreatLabz е следил внезапно нарастване на броя на рекламните приложения в Гугъл Play на фона на интензивността на закани като Joker, Harly и банкови троянски коне, до момента в който броят на зловредния програмен продукт като Facestealer и Coper е намалял.
