Семейство вредоносных программ Brain Test вновь изгнано из интернет-магазина Google.

Как известно, вариации зловреда, попадающие к пользователям вместе с легитимными мобильными приложениями, способны получать права суперпользователя на Android-устройствах, загружать другие вредоносные APK-файлы и накручивать на Google Play рейтинги разных приложений, созданных одной и той же группой китайских разработчиков.

Что еще хуже, Brain Test умеет обманывать защитные средства Google Play, в первую очередь сканер Google Verify Apps (ранее — Bouncer), призванный ограждать интернет-магазин от опасных программных продуктов. Так, недавно Google изъяла из публичного доступа 13 приложений, упакованных вместе с Brain Test, в том числе игру Cake Tower, уже скачанную от 10 тыс. до 50 тыс. раз. Ранее компании пришлось удалить еще пару таких публикаций, каждая из которых, согласно статистике Google Play, дала от 100 тыс. до 500 тыс. скачиваний.

Исследователи из Lookout отслеживают Brain Test с сентября, с появления отчета Check Point Software Technologies об этой вредоносной программе. «Похоже, что авторы зловреда на протяжении двух-трех месяцев опробовали разные имена, игры и техники, чтобы понять, какие приложения можно публиковать на Play, оставаясь при этом в тени, — делятся эксперты своими наблюдениями. — Затем накануне Рождества (23 декабря) вышел апдейт для игры под названием Cake Tower. По функциональности он оказался схожим с первоначальными версиями Brain Test и обрел новый C&C-сервер — недостающее свидетельство связи между всеми этими приложениями».

Lookout также предоставила Threatpost полный список приложений, только что удаленных с Google Play:

  • Cake Tower, com.beautiful.caketower
  • Drag Box, com.block.dragbox
  • Jump Planet, com.galaxy.jumpplanet
  • Honey Comb, com.sweet.honeycomb
  • Crazy Block, com.crazy.block
  • Piggy Jump, com.stupid.piggyjump
  • Hit Planet, com.smile.hitplanet
  • Ninja Hook, com.sunshine.ninja
  • Just Fire, com.tomtom.justfire
  • Eat Bubble, com.fine.eatbubble
  • Crazy Jelly, com.crazy.sugar
  • Tiny Puzzle, com.dot.tinypuzzle
  • Cake Blast, com.zhtt.cakeblast.

Более ранние варианты Brain Test примечательны тем, что умеют получать права суперпользователя на Android-устройствах и открывать бэкдор для связи с командным сервером. Используемый зловредом руткит обеспечивает ему стойкое присутствие в системе, в итоге избавиться от Brain Test можно лишь перепрошивкой.

«Похоже, главной целью зловреда является загрузка и установка дополнительных APK по команде с C&C-сервера, — заключают исследователи. — Его разработчики также использовали зараженные устройства для скачивания других вредоносных приложений, которые они публиковали на Play Store, чтобы накрутить число загрузок для каждого из этих продуктов».

В упомянутом выше отчете Check Point также рассматривалась хитроумная техника обхода Google Verify Apps и других средств защиты Google Play от публикации вредоносного ПО. Так, Brain Test производит проверку IP-адреса, руководствуясь заданным списком, и, если соответствующий сервер принадлежит Google, исполнения вредоносного кода не происходит.

«Они используют комбинацию технологий, в том числе проверку на наличие эмулятора и ожидание команды с C&C-сервера на выполнение вредоносных функций, — добавляет Крис Дехганпур (Chris Dehganpoor), старший аналитик Lookout. — Кроме того, большая часть вредоносного кода хранится в зашифрованном ресурсе, что, видимо, повышает способность к обходу защиты».

«Как и в случае со многими новыми программами агрессивного показа рекламы на Android (Shedun, ShiftyBug, Shuanet), основным назначением Brain Test на настоящий момент, по всей видимости, является монетизация путем гарантированной установки приложений на заказ, персональные данные пользователей его авторов пока не интересуют, — отметил при этом исследователь. — Однако данный проект предусматривает функциональность, которая потенциально позволяет извлекать информацию пользователя».

Категории: Вредоносные программы