Пользователей Android предупреждают о вредоносном обновлении, якобы распространяемом Google. Атакующие используют URL, схожие с адресами компании, с которых она раздает легитимные обновления.

Исследователи из Zscaler отметили, что авторы вредоносной кампании не жалеют средств на покупку доменов, поименованных в расчете на невнимательность пользователя, с целью обхода защитных средств фильтрации URL и прочей защиты, установленных на мобильных устройствах. «Эти URL, как мы заметили, служат очень недолго и регулярно заменяются новыми для раздачи вредоносного ПО и эффективного обхода фильтрации на основе URL», — пишут эксперты.

В блоге Zscaler приведен список вредоносных доменов, используемых в рамках текущей кампании:

  • http[:]//ldatjgf[.]goog-upps.pw/ygceblqxivuogsjrsvpie555/
  • http[:]//iaohzcd[.]goog-upps.pw/wzbpqujtpfdwzokzcjhga555/
  • http[:]//uwiaoqx[.]marshmallovw.com/
  • http[:]//google-market2016[.]com/
  • http[:]//ysknauo[.]android-update17[.]pw/
  • http[:]//ysknauo[.]android-update16[.]pw/
  • http[:]//android-update15[.]pw/
  • http[:]//zknmvga[.]android-update15[.]pw/
  • http[:]//ixzgoue[.]android-update15[.]pw/
  • http[:]//zknmvga[.]android-update15[.]pw/
  • http[:]//gpxkumv.web-app.tech/xilkghjxmwvnyjsealdfy666/

Оказавшись на устройстве, зловред соединяется с удаленным сайтом, прежде чем начать отправку краденых записей о телефонных вызовах, данных об SMS, истории браузера и сохраненной банковской информации. Он также ищет на устройстве антивирусные продукты и пытается их деактивировать.

Вредоносный файл именуется Update_chrome.apk; после установки он запрашивает у пользователя права администратора. После этого зловред регистрирует зараженное устройство на командном сервере, обращаясь к http[:]//varra.top/tapas/gtgtr[.]php, и начинает мониторинг, собирая, в частности, информацию о вызовах и SMS.

Zscaler также предупредила, что, если у пользователя установлено приложение Google Play, зловред отображает ему поддельную страницу для оплаты, пытаясь похитить номера кредитных карт и отослать их на российский телефонный номер. Однако, реализуя эту функцию, вирусописатели, по всей видимости, допустили ошибку, так как воспроизведение фишингового экрана вызвало крэш на ряде тестовых устройств Zscaler.

«В дикой природе мы наблюдаем множество новых URL, активно загружающих этого зловреда, — пишут далее исследователи. — Такая инфекция на устройстве приводит к утечке информации, такой как реквизиты кредитных карт, SMS и данные о вызовах, что впоследствии грозит банковским мошенничеством. После установки похитителя информации невозможно удалить, так как он не позволяет пользователю деактивировать его административный доступ. Единственным выходом является откат до заводских настроек, чреватый дальнейшей потерей данных».

В недавно опубликованном отчете о безопасности Android компания Google заявила, что усовершенствования системы безопасности этой ОС позволили сдержать экспансию потенциально опасных программ. По оценке разработчика, такие заражения обнаруживаются лишь на 0,15% устройств, использующих Google Play, тогда как при загрузке приложений из сторонних магазинов этот показатель составляет 0,5%.

Категории: Вредоносные программы