Сразу же удалите эти файлы APK: список двойных приложений в вашем телефоне

Ваш смартфон работает для кого -то другого. Добро пожаловать в эпоху Мааса.
С растущей популярностью смартфонов Android в развивающихся странах и растущей доступности сторонних магазинов приложений, киберпреступники запустили крупномасштабную кампанию, которая объединяет два опасных подхода к крату сертификатов и щелкнув скрытой, но чрезвычайно прибыльной атакой с вредоносными программами.

Используя специально разработанные файлы APK, они маскируют вредоносное ПО в качестве законных приложений и распространяют их за пределы официальных каналов, в том числе посредством фишинговых электронных писем и поддельных рекламных страниц популярных брендов.

Сами приложения представлены в виде популярных услуг, призовых приложений, коммунальных программ, азартных игр или инструментов от известных компаний, что повышает доверие потребителей. Установив аналогичное приложение, жертва фактически получает доступ к различным системным ресурсам — от геолокации и списков с контактами для вызова журналов и идентификаторов уникальных устройств. В дополнение к сбору конфиденциальной информации, эти программы запускают скрытые механизмы для трафика приправы и автоматически взаимодействуют с рекламными системами, генерируя искусственные клики, просмотры и инсталляции.

Анализ выявил многочисленные файлы APK с различной степенью реализации, но с общей архитектурой и принадлежащими к одному кластеру вредоносных программ. Некоторые образцы сосредоточены исключительно на создании фальшивых рекламных взаимодействий, с небольшим или вообще отсутствуют другие функции. Другие направлены на кражу данных идентификации путем имитации интерфейсов банковских услуг или социальных услуг.

Есть также те, кто тайно собирает пользовательские данные, представляя себя для игр или утилит. Есть даже программы, которые обещают призы за простые действия, но разрешения на злоупотребления и тайно передают информацию на удаленные серверы. Отдельная категория состоит из приложений для азартных игр, которые скрыты за юридическими дверями и собирают как финансовые, так и личные данные.

Один из самых замечательных случаев связан с Фальшивый клиент FacebookРаспределяется под фальшивыми страницами с адресами, имитирующими официальные и использующие набор разрешений, включая доступ к точному местоположению, под видом компонентов системы.

После установки приложение загружает конфигурации, зашифрованные с помощью AES-ECB, и изменяет его поведение в зависимости от среды: при работе в виртуализированных системах или эмуляторах, таких как Genymotion, это может задержать активацию вредоносной полезной нагрузки или вообще не быть активной. В реальной среде приложение устанавливает соединение с серверами управления, замаскированными в качестве услуг для сбора телеметрии и передает данные на платформе, местоположении, метаданных пользователя и других параметров.

Технический анализ показывает использование Apksignaturekillex — Инструмент, который обходит подпись пакета Android и вводит вторичные компоненты, такие как скрытый «Origin.Apk», работающий на заднем плане. Инфраструктура вредоносной сети организована вокруг сегментированных поддоменов с иерархической структурой и адаптивным поведением. Некоторые образцы специфичны для страны или языка, что подразумевает целенаправленную стратегию. Код содержит элементы упрощенного китайцасерверы расположены в облаке Alibaba, а архитектура следует за моделью «Удовлетворительный надпись как сервис» (MAAS) — с возможностью масштабирования атак и использования украденных данных в будущем.

Согласно отчету Trustwave, кампания сочетает в себе два мотива — финансовая прибыль за счет мошенничества с рекламой и стратегического сбора данных идентификации для возможных будущих атак. Это подчеркивает гибридный характер сегодняшних угроз: поверхностная активность может быть укрытием для гораздо более глубокой и долгосрочной работы.

Чтобы минимизировать риски, эксперты рекомендуют устанавливать приложения только из надежных источников, обращая внимание на предложения для загрузки файлов APK из сообщений или рекламных акций, а также тщательно проанализировать запрошенные разрешения.