Администраторы Google Play удалили из магазина 29 зловредов, направленных на кражу пользовательских данных. По информации ИБ-экспертов, злоумышленники применили необычную технику маскировки. Она позволяла троянам притворяться приложениями, установленными на устройстве, и перекрывать легитимные окна фишинговыми формами ввода данных.

Об угрозе сообщили аналитики компании ESET, обнаружившие опасное ПО в августе — октябре 2018 года. По их словам, все приложения разработаны одним автором, хотя в Google Play их загружали с разных аккаунтов. Тем не менее общий командный сервер и схожие фрагменты кода выдают родство зловредов.

В отличие от большинства подобных троянов, эти вредоносы не маскировались под банковские и финансовые приложения. Пользователи скачивали их под видом мобильных гороскопов, программ для улучшения работы аккумулятора и очистки памяти. К моменту удаления зловреды набрали в общей сложности около 30 тыс. загрузок.

Набор функций позволял фальшивым приложениям перехватывать СМС с кодами подтверждения, просматривать журналы звонков, скачивать и устанавливать на зараженное устройство дополнительные программы. Разработчики также предусмотрели несколько технических приемов для маскировки нежелательных действий от пользователя и антивирусных систем.

Так, некоторые трояны после установки показывали ложное уведомление о несовместимости ПО, из-за чего запуск якобы оказывался невозможен. На самом деле зловред оставался на устройстве, продолжая работу в скрытом режиме. Исключением были те случаи, когда шпион маскировался под гороскоп — такие приложения действительно предоставляли астрологические прогнозы.

На втором этапе трояны проверяли, попали ли они на реальное устройство или в антивирусную песочницу. Только после этого приложение распаковывало загрузчик, который устанавливал полезную нагрузку для кражи пользовательских данных.

Главная особенность этого семейства зловредов заключается в умении перехватывать информацию из других приложений на зараженном аппарате. Они распознавали формы ввода и отображали поверх них собственное окно с таким же дизайном. В результате, где бы ни авторизовался пользователь, троян мог записать его данные и отправить их организаторам кампании.

Какими бы продвинутым ни были фишинговые техники, удалить опасное ПО несложно — с этим справится даже Диспетчер приложений. Эксперты также рекомендуют пользователям проверить последние операции на счетах и обновить данные для доступа к онлайн-банкам.

По информации Google, в 2017 году администраторы удалили из официального магазина Android более 700 тыс. нежелательных приложений — на 70% больше, чем в 2016-м. Среди них были как вредоносные программы, так и ПО, нарушавшее правила Google для разработчиков.

Пользователям Android также угрожают уязвимости и вполне легитимных программ. Эксперты Центра гражданских исследований Американского института потребителей нашли опасные бреши почти в половине приложений Google Play, из которых 29% получили максимальный рейтинг опасности.

Категории: Вредоносные программы, Кибероборона, Мошенничество