После обращения ИБ-специалистов из каталога Google Play были удалены два приложения, загружавшие на Android-устройства банковский троян Anubis. Программы использовали датчики движения мобильного телефона, чтобы не проявлять вредоносную активность при запуске в песочнице, и применяли Telegram и Twitter для связи с командным сервером. Зловред похищал пользовательские данные через перехват работы с виртуальной клавиатурой и скриншоты экранов финансовых приложений.

Вредоносные функции были найдены в программе для экономии заряда батареи и конвертере валют. Как отмечают исследователи, одно из приложений имело более 5 тыс. загрузок и пользовательский рейтинг 4,5 из 5. Попав на устройство, зловред выводил на экран фальшивое уведомление об апдейте системного ПО, а после получения согласия на установку загружал полезную нагрузку.

Злоумышленники использовали необычную тактику для предотвращения запуска своей разработки на виртуальных машинах, которые используют ИБ-специалисты для изучения вредоносных программ. Троян анализировал датчики движения мобильного устройства, чтобы убедиться, что оно находится в руках человека. Если приложение в течение длительного времени не получало сигналов об изменении положения в пространстве, то не выполняло вредоносных действий.

Адрес командного сервера зловред получал через запрос к веб-странице одного из аккаунтов злоумышленников в Telegram или Twitter. Зашифрованный URL центра управления содержался в описании профиля, что позволяло оперативно менять хост без вмешательства в код программы. Кроме того, такой механизм затруднял обнаружение вредоносного приложения антивирусными сканерами.

Специалисты относят банкер, который загружался в ходе кампании, к семейству Anubis. Отличительной чертой зловреда является использование кейлоггера для перехвата финансовых и учетных данных, вводимых жертвой, в то время как большая часть подобных троянов используют для этих целей невидимый фрейм, накладываемый поверх окна финансового приложения. Кроме того, Anubis обладает возможностью отправлять злоумышленникам скриншоты экрана, а некоторые штаммы способны получать доступ к адресной книге и SMS.

Это не первый случай, когда банкер под видом приложения проник в Google Play. В июле прошлого года в репозитории обнаружили сразу десять программ, которые заражали мобильные устройства зловредами Exobot и Anubis. Целью кампании были пользователи из Турции, а количество версий полезной нагрузки, которыми оперировали киберпреступники, исчислялось сотнями.

Категории: Вредоносные программы