Многоуровневое вредоносное ПО проникает в Google Play

1. Функции анти-обнаружения
2. Как от этого избавиться
3. Как оставаться защищенным
4. МНК
5. Закодированные домены, на которых размещены ссылки на полезные данные третьего уровня

Во всех случаях, которые мы исследовали, конечной полезной нагрузкой был троян мобильного банкинга. После установки оно ведет себя как типичное вредоносное приложение такого рода: оно может предоставлять пользователю поддельные формы входа для кражи учетных данных или данных кредитной карты.

Еще один набор вредоносных приложений попал в официальный магазин приложений для Android. Эти приложения, обнаруженные системами безопасности ESET как Android / TrojanDropper.Agent.BKY, образуют новое семейство многоступенчатых вредоносных программ для Android, выглядящих законно и с отложенным началом вредоносной активности.

Мы обнаружили в Google Play восемь приложений из этого семейства вредоносных программ и уведомили об этом службу безопасности Google. Google удалил все восемь приложений из своего магазина; пользователи с включенным Google Play Protect защищены этим механизм ,

Рисунок 1 - Шесть из многоступенчатых загрузчиков, обнаруженных в Google Play

Ни одно из рассматриваемых приложений не было загружено более нескольких сотен раз. Несмотря на это, их расширенные функции анти-обнаружения делают это семейство вредоносных программ интересным.

Функции анти-обнаружения

Все эти образцы вредоносного ПО используют многоэтапную архитектуру и шифрование, чтобы оставаться в поле зрения.

После загрузки и установки эти приложения не запрашивают никаких подозрительных разрешений и даже имитируют активность, которую пользователь ожидает от них.

Наряду с этим вредоносное приложение также расшифровывает и выполняет свою полезную нагрузку, то есть полезную нагрузку первого этапа. Эта полезная нагрузка дешифрует и выполняет полезную нагрузку второго этапа, которая хранится в активах исходного приложения, загруженного из Google Play. Эти шаги невидимы для пользователя и служат мерами для обфускации.

Рисунок 2 - Модель исполнения Android / TrojanDropper.Agent.BKY

Полезная нагрузка второго этапа содержит жестко закодированный URL-адрес, с которого она загружает другое вредоносное приложение (то есть полезную нагрузку третьего этапа) без ведома жертвы. После предварительно заданной задержки, равной примерно пяти минутам, пользователю предлагается установить загруженное приложение.

Приложение, загружаемое полезной нагрузкой второго уровня, замаскировано под широко известное программное обеспечение, такое как Adobe Flash Player, или как что-то законно звучащее, но полностью вымышленное - например, «Обновление Android» или «Обновление Adobe». В любом случае целью этого приложения является сброс окончательной полезной нагрузки и получение всех разрешений, необходимых для ее вредоносных действий.

Рисунок 3 - Запрос на установку для полезной нагрузки третьего этапа

После установки и получения запрошенных разрешений вредоносное приложение, выступающее в качестве полезной нагрузки третьего этапа, дешифрует и выполняет четвертый этап - и последний - полезные данные.

Во всех случаях, которые мы исследовали, конечной полезной нагрузкой был троян мобильного банкинга. После установки оно ведет себя как типичное вредоносное приложение такого рода: оно может предоставлять пользователю поддельные формы входа для кражи учетных данных или данных кредитной карты.

Одно из вредоносных приложений загружает свою окончательную полезную нагрузку, используя сокращающий URL-адрес bit.ly. Благодаря этому мы смогли получить статистику загрузки: по состоянию на 14 ноября 2017 года ссылка использовалась почти 3000 раз, причем подавляющее большинство обращений приходило из Нидерландов.

Рисунок 4. Статистика загрузки для окончательной полезной нагрузки одного из вредоносных приложений по состоянию на 14 ноября 2017 г.

Два последних образца Android / TrojanDropper.Agent.BKY были обнаружены при загрузке MazarBot пресловутый банковский троян или шпионское ПО.

Учитывая его природу, этот загрузчик может доставить любую полезную нагрузку по выбору преступников, если он не помечен механизмом Google Protect.

Как от этого избавиться

Если вы загрузили какое-либо из этих приложений, вам необходимо (i) деактивировать права администратора для установленной полезной нагрузки, (ii) удалить случайно установленную полезную нагрузку и (iii) удалить приложение, загруженное из Play Store.

• Чтобы деактивировать права администратора для установленной полезной нагрузки, перейдите в « Настройки» («Общие»)> «Безопасность»> «Администраторы устройства» и найдите Adobe Flash Player, Adobe Update или Android Update.
• Чтобы удалить установленную полезную нагрузку, перейдите в « Настройки» («Общие»)> «Диспетчер приложений» / «Приложения» и найдите определенные приложения (Adobe Flash Player, Adobe Update или Android Update), чтобы удалить их.
• Чтобы удалить вредоносное приложение, загруженное из магазина Play, перейдите в « Настройки» («Общие»)> «Диспетчер приложений / Приложения» и найдите приложения с именами: «Инструменты MEX», «Очистить Android», «Очиститель для Android», «Мировые новости», «Новости мира», «Мир». Новости PRO, Игровые Автоматы Слоты Онлайн или Слоты Онлайн Клуб Игровые Автоматы.

Обратите внимание, что структура настроек может немного отличаться в зависимости от версии Android.

Как оставаться защищенным

К сожалению, многоступенчатые загрузчики с улучшенными функциями запутывания имеют больше шансов проникнуть в официальные магазины приложений, чем обычные вредоносные программы для Android. Пользователи, которые хотят оставаться защищенными, не должны полностью полагаться на защиту магазинов; вместо этого пользователям важно проверять рейтинги и комментарии приложений, обращать внимание на то, какие разрешения они предоставляют приложениям, и запускать качественные решения безопасности на своих мобильных устройствах.

МНК

com.fleeeishei.erabladmounsem 16 октября 2017 1000 - 5000 9AB5A05BC3C8F1931A3A49278E18D2116F529704 com.softmuiiurket.cleanerforandroid 3 октября 2017 50 - 100 2E47C816A517548A0FBF809324D63868708D00D0 com.expjhvjhertsoft.bestrambooster 29 сентября 2017 500 - 1000 DE64139E6E91AC0DDE755D2EF49D60251984652F gotov.games.toppro октября 7, 2017 1,000 - 5,000 6AB844C8FD654AAEC29DAC095214F4430012EE0E slots.forgame.vul 6 октября 2017 10 - 50 C8DD6815F30367695938A7613C11E029055279A2 com.bucholregaum.hampelpa 9 октября 2017 100 - 500 47442BFDFBC0FB350B8B30271C310FE44FFB119A com.peridesuramant.worldnews 19 октября 2017 100 - 500 604E6DCDF1FA1F7B5A85892AC3761BED81405BF6 com.peridesurrramant. worldnews 20 октября 2017 г. 100 - 500 532079B31E3ACEF2D71C75B31D77480304B2F7B9

Закодированные домены, на которых размещены ссылки на полезные данные третьего уровня

loaderclientarea24.ru loaderclientarea22.ru loaderclientarea20.ru loaderclientarea15.ru loaderclientarea13.ru

Похожие

Комментарии