Исследователи из «Лаборатории Касперского» обнаружили новый Android-бэкдор, который с января атакует исключительно бразильских пользователей. Авторам зловреда удалось загрузить его на Google Play, где специалисты насчитали более 20 вариаций программы.

Аналитики назвали свою находку BRATA — «Brazilian RAT Android». В Google Play троян маскировался под обновления WhatsApp — в частности, злоумышленники продвигали его как заплатку для CVE-2019-3568. Уязвимость получила широкую огласку в мае этого года, когда правозащитники раскрыли шпионскую кампанию на ее основе. По словам экспертов, ложный патч установили более 10 тыс. пользователей.

Функции трояна BRATA

Главное назначение BRATA — кейлоггинг с возможностью передачи данных в реальном времени. В работе троян использует службу Accessibility Service, которая позволяет ему взаимодействовать с другими приложениями на зараженном устройстве.

Аналитики обнаружили в коде зловреда следующие функции:

  • Получение информации об установленной ОС, характеристиках устройства, текущем пользователе и его Google-аккаунтах.
  • Запуск установленных приложений с параметрами, указанными в полученном JSON-файле.
  • Запись и отправка операторам снимков экрана.
  • Передача на удаленный сервер текстовых данных.
  • Отправка пользователю запроса на разблокировку, удаленная разблокировка устройства.
  • Выключение смартфона или планшета, отключение экрана для выполнения операций в фоновом режиме.
  • Удаление зловреда и всех следов его активности.

Злоумышленники распространяют BRATA через вредоносные SMS- и WhatsApp-рассылки. Кроме того, они используют push-уведомления на взломанных сайтах и закупают рекламу в поиске Google.

Аналитики Kaspersky напоминают пользователям о необходимости проверять разрешения, которые запрашивают устанавливаемые приложения. Кроме того, для максимальной безопасности необходимо использовать актуальный мобильный антивирус с функцией защиты в реальном времени.

Ранее эксперты «Лаборатории Касперского» сообщили о появлении в Google Play вредоносного загрузчика CamScanner с более чем 100 млн установок. Злоумышленники скомпрометировали рекламную библиотеку легитимного приложения, получив таким образом доступ к его аудитории.

Вскоре после этого администрация Google Play расширила действие своей программы по отлову багов на все приложения, набравшие более 100 млн загрузок. Ранее ИБ-специалисты могли получить награду только за баги в разработках Google и продуктах избранных компаний. По новым условиям эксперты могут претендовать на награду до $20 тыс. за RCE-уязвимость и до $3000 за прочие угрозы.

Категории: Аналитика, Вредоносные программы, Главное