Google Play удалила 77 опасных приложений — они были загружены 19 миллионов раз
Семьдесят семь злонамеренных приложений для Android с общей установкой более 19 миллионов были обнаружены в Google Play и впоследствии удалены. Угроза была обнаружена экспертами исследовательской группы Zscaler Wreathlabs, анализируя новую волну инфекций, связанных с Trojan Anatsa Banking Trojan (также известным как чайный бот).
Анализ показывает, что более 66% вредоносных приложений содержат рекламные компоненты, но наиболее распространенным типом вредоносного ПО является лошадь Trojan Joker, найденную почти в 25% испытавших применений, пишет BleepingComputer. После установки Джокер получает доступ к чтению и отправке SMS, может занимать скриншоты, делать звонки, копировать списки контактов, собирать данные устройств и автоматически присоединяться к оплачиваемым подпискам.
Некоторые из приложений попадают в категорию Maskware — вредоносное ПО, которое выглядит и работает в соответствии с описанием, но в фоновом режиме крадут учетные данные, банковскую информацию, данные о местоположении и SMS и могут снять дополнительные вредоносные модули.
Исследователи Zscaler также обнаружили версию Trojan Joker, которая называется Harly, которая, в отличие от классического Joker, не загружает вредоносный код с сервера, но хранит его внутри файла APK в зашифрованном примере формы для ресурсов или встроенной библиотеки. Это позволяет ему обойти чек Google Play. Согласно отчету Human Security, Harly замаскирована как популярные приложения — игры, обои, фонарики и фото редакторы — и уже сумел проникнуть в магазин с десятками аналогичных загрузок.
Последняя версия Trojan Horse Anatsa расширила список целевых приложений: теперь она атакует 831 банк и криптовалютные приложения, а до этого их число было 650.
Anatsa использует поврежденные APK-архивы, чтобы скрыть, что нарушает статический анализ, а также зашифруется на основе DES в режиме выполнения, обнаружения эмулятора и регулярного изменения имен и хэш пакетов. Троянская лошадь злоупотребляет разрешением службы доступности, автоматически предоставляя расширенные привилегии. Он снимает фишинговые формы с своего сервера для более чем 831 службы, включая приложения из Германии и Южной Кореи, и оснащен модулем Cairist для сбора произвольных данных.
Исследователь Zscaler Himansho Sharma отмечает, что команда Agenlabz наблюдала резкое увеличение количества рекламных приложений в Google Play на фоне деятельности по угрозе, такой как Joker, Harly и Banking Trojan Horses, в то время как количество вредоносных программ, таких как Facesealer, уменьшается.
