Организаторы вредоносных кампаний научились обходить защиту Google Play с помощью троянов-загрузчиков. Обфусцированный код позволяет мошенникам скрывать нелегальные функции от систем безопасности, получая доступ к миллионам пользователей официального магазина Android.

Подобные атаки происходят в два этапа: сначала жертва скачивает замаскированный дроппер, а он по команде устанавливает основной зловред с удаленного сервера. Одна программа может параллельно участвовать в целом наборе кампаний, а ее владельцы — получать деньги от нескольких заказчиков, сдавая в аренду «загрузочные мощности».

В отличие от персональных компьютеров, где антивирусные программы блокируют и дропперы, и их полезную нагрузку, заразить мобильное устройство, оказывается, относительно легко. Безопасность смартфонов и планшетов во многом зависит от работы автоматических сканеров, которые проверяют приложения перед добавлением в Google Play.

Замаскированные приложения действительно выполняют заявленные в описании задачи, усыпляя внимание жертвы. Загружаемые нелегитимные компоненты уже не попадают под контроль Google Play, и если пользователь не установил мобильный антивирус, то может даже не узнать о заражении.

Эксперты ИБ обнаруживали этот подход в атаках таких троянов, как BankBot, Red Alert и Lokibot. В начале июля аналитики IBM сообщили, что как минимум 10 приложений в Google Play содержат функции загрузчика. По их словам, каждое из них может распространять более 1000 различных зловредов.

Разнообразие полезной нагрузки при значительно меньшем количестве дропперов заставило экспертов предположить, что на черном рынке формируется специализированный сегмент — downloader-as-a-service. Предлагая операторам зловредных кампаний возможность дотянуться до клиентов Google Play, создатели дропперов обеспечивают себе постоянный доход, который может даже превышать прибыль от кражи персональных и финансовых данных.

По словам специалиста Threat Fabric Гаэтана ван Димена (Gaetan van Diemen), защитные системы не распознают загрузчики, поскольку в виртуальной среде оказывается непросто спровоцировать запуск вредоносных функций. Приложение может выглядеть абсолютно легитимным, пока не получит сигнал с командного сервера или не дождется от пользователя определенных прописанных в коде действий.

В последнем случае, например, загрузка не произойдет, пока владелец смартфона не проведет в скачанной игре нужное количество времени. Учитывая обилие приложений в Google Play, песочница магазина физически не может выделить ресурсы для тщательной проверки каждого из них.

В то же время ван Димен подчеркнул, что даже существующие методы могут помочь в борьбе с дропперами. В первую очередь это поиск в коде фрагментов, которые уже знакомы по выявленным зловредам. Эксперт привел в пример Exobot, который использует один и тот же загрузочный механизм. Тем не менее, ни собственные системы Google, ни антивирусные сканеры по какой-то причине его не блокируют.

Категории: Вредоносные программы, Главное, Кибероборона