Администраторы Google Play удалили из официального магазина Android шпионское приложение, которое маскировалось под интернет-радио. Устранить угрозу удалось лишь со второго раза — через месяц после первой блокировки преступники вновь загрузили зловред в каталог.

Приложение Radio Balouch позволяло злоумышленникам собирать учетные данные жертв, копировать их файлы и списки контактов, а также отправлять СМС. Зловред построен на базе RAT-трояна AhMyth с открытым исходным кодом, который начал свою активность еще в 2017 году. С тех пор он породил несколько наследников, однако в Google Play пока удалось проникнуть только Radio Balouch.

Android-шпион под маской интернет-радио

Как отмечают исследователи, приложение отлично выполняет свою заявленную функцию — стриминг музыки из Интернета. Попав на пользовательское устройство, оно последовательно требует доступ к файлам и списку контактов. Первый пункт не вызывает подозрений у пользователей, так как без этих прав не работают интернет-радиостанции. Просьбу открыть записную книжку приложение объясняет возможностью пригласить друзей. Отказ пользователя зловред принимает без возражений.

Далее троян выводит на экран окно авторизации с просьбой зарегистрироваться. Пользователь может ввести любые данные — приложение примет их в любом случае. Эксперты полагают, что таким образом преступники собирают логины и пароли для дальнейших атак с подстановкой данных (credential stuffing).

Собранную информацию троян отправляет на управляющий сервер, причем данные передаются в открытом виде. Из присутствующих в коде возможностей неактивной оказалась только функция отправки СМС — по нынешним правилам Google, эта опция доступна только нативным приложениям.

Хроника борьбы с Radio Balouch

Впервые эксперты заметили шпиона в Google Play в начале июня. Модераторы оперативно удалили приложение, однако в июле оно вновь появилось в каталоге. Специалисты опять привлекли к нему внимание администрации, и те повторили процедуру. В обоих случаях зловред успели скачать около сотни пользователей.

Шпион по-прежнему доступен в сторонних каталогах Android-приложений. Сайт приложения, который служил и точкой распространения Radio Balouch, и управляющим сервером его кампаний, заблокирован.

Операторы шпиона также зарегистрировали аккаунты в Instagram и YouTube, в которые пытались его продвигать. Эксперты сообщили модераторам об их преступных мотивах, но на момент публикации реакции не последовало. Впрочем, судя по количеству просмотров на YouTube, злоумышленники пока не привлекли на свои площадки значительный трафик.

Исследователи ожидают в будущем появления новых вариаций AhMyth, и некоторые из них могут снова оказаться в Google Play. Пользователям также стоит опасаться дополнительных функций в следующих поколениях зловреда — учитывая его открытую природу, добавить опции в код может любой желающий.

Ранее специалисты выяснили, что в Google Play на протяжении нескольких лет лежал зловред Exodus. Исследователи обнаружили в каталоге 25 вариаций дроппера, который загружал на пользовательские устройства шпионское ПО.

Категории: Вредоносные программы, Кибероборона