В течение последних нескольких месяцев прослеживается тренд на использование возможностей плагин-фреймворков Android-зловредами. Уже несколько видов вредоносного ПО воспользовались известными плагин-фреймворками вроде DroidPlugin, Parallel Space и VirtualApp. Последние большей частью служат для распространения Android-зловредов, чаще рекламного ПО.

Изначально плагин-фреймворки были созданы для реализации функций, не нативных для Android. Например, плагин-фреймворки обеспечивают поддержку виртуализации для запуска ОС Android других инстанций одного и того же приложения, так как операционная система может единовременно запускать только одну инстанцию приложения. Именно поэтому, к примеру, пользователи могут заходить в несколько аккаунтов соцсетей одновременно. Плагин-фреймворки также необходимы для реализации техники «горячего патчинга» — обновления приложений вне официального магазина Google Play.

Таким образом, киберпреступники должны были отметить возможности плагин-фреймворков и воспользоваться ими. Так и случилось: в октябре 2016 года исследователи впервые столкнулись со случаем использования плагин-фреймворка VirtualApp для фишинговых атак на пользователей Twitter и WhatsApp, а месяцем позже был обнаружен образец Android-троянца PluginPhantom, использовавший фреймворк DroidPlugin.

В январе 2017 года эксперты проанализировали новую версию HummingBad под названием HummingWhale, также полагающуюся на DroidPlugin. Зловред устанавливал нежелательные приложения в рамках виртуальной машины, чтобы накручивать установки сторонних приложений и наживаться на схеме «оплата за установку».

Исследуемые уже сегодня вредоносные Android-приложения, как выяснилось, были заражены HummingWhale. Многие из скомпрометированных программ доступны в официальном Google Play. Хотя приложения легитимны, они демонстрируют вредоносное поведение, но только внутри виртуальной машины посредством DroidPlugin.

В некоторых случаях зловред использует плагин-фреймворк для запуска другой инстанции легитимного приложения, которая насквозь пронизана рекламой других приложений. Иногда зловред шел во все тяжкие и даже устанавливал и запускал одно из рекламируемых приложений. Однако подобные приложения живут на устройстве совсем недолго: как только виртуальная машина останавливает свою работу и, следовательно, работу зловредной инстанции легитимного приложения, все установленные против воли пользователя приложения будут автоматически удалены.

Нелегитимные приложения легко обнаружить: достаточно открыть экран с исполняемыми приложениями в Android, и там можно увидеть две инстанции одного и того же приложения.

Google уже удалила из магазина приложения, демонстрирующие подобное вредоносное поведение.

Опасность описанного метода состоит в том, что он может быть использован для установки не только относительно безвредного, хоть и раздражающего рекламного ПО, но и более серьезных угроз — например, мобильных троянцев.

Категории: Вредоносные программы, Главное