Малварные дропперы для Android эволюционируют за пределы банковских троянов

Исследователи в области кибербезопасности обнаружили тревожный сдвиг в мире малвари для Android. Дропперы — небольшие, на первый взгляд безобидные приложения, которые тайно загружают и устанавливают вредоносное ПО — больше не ограничиваются доставкой мощных банковских троянов. Теперь они перепрофилируются для распространения гораздо более простых угроз, таких как кража SMS и шпионское ПО, особенно в Азии.

На протяжении многих лет дропперы действовали как «доставщики» для сложного вредоносного ПО, которому нужен глубокий доступ к системе, такого как банковские трояны или инструменты удаленного доступа. Однако, согласно новому отчету голландской компании по безопасности ThreatFabric, киберпреступники адаптируют ту же технику для распространения гораздо более простого вредоносного ПО внутри скрытных приложений, превращая дропперы в универсальные инструменты для обхода последних защит Google.

Почему дропперы становятся более распространенными

Исследователи из ThreatFabric отмечают, что изменение связано с новой программой Play Protect Pilot от Google, которая недавно была развернута в регионах с высоким риском, таких как Индия, Бразилия, Таиланд и Сингапур.

Программа сканирует приложения перед установкой — особенно те, которые загружаются из-за пределов Play Store — и блокирует те, которые запрашивают чувствительные разрешения, такие как чтение SMS, доступ к уведомлениям или управление функциями доступности. Если приложение выглядит подозрительно, оно блокируется до того, как сможет запуститься.

Этот шаг усложнил задачу вредоносным приложениям попасть на телефоны. Но злоумышленники нашли лазейку. Вместо того чтобы напрямую отправлять вредоносный код, они скрывают его внутри дропперов, которые на первый взгляд выглядят безобидно. Эти приложения запрашивают минимальные разрешения, показывают ложное уведомление о «обновлении» и проходят первоначальные сканирования Google без проблем. Только после того, как пользователи нажимают Обновить, реальное вредоносное ПО устанавливается в фоновом режиме, запрашивая мощные разрешения, которые ему нужны.

«Инкапсулируя даже базовые полезные нагрузки внутри дроппера, они получают защитную оболочку, которая может избежать сегодняшних проверок, оставаясь достаточно гибкими, чтобы менять полезные нагрузки и менять кампании завтра», — написала ThreatFabric в блоге на прошлой неделе.

RewardDropMiner и другие угрозы

Исследователи из ThreatFabric выделили один случай под названием RewardDropMiner. Он изначально был разработан для доставки шпионского ПО, одновременно тихо добывая криптовалюту в фоновом режиме. Однако в своей последней версии функции майнинга были удалены, оставив только функциональность дроппера. Этот более «облегченный» подход делает вредоносное ПО труднее обнаружить, при этом позволяя злоумышленникам тайно доставлять шпионское ПО или другие вредоносные приложения.

Поддельные приложения, связанные с RewardDropMiner, были найдены, выдающими себя за популярные индийские сервисы, такие как PM Yojana 2025, SBI Online, Axis Card и даже государственные утилиты.

Другие семейства дропперов, такие как SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper и TiramisuDropper, также активны, используя аналогичные уловки для обхода проверок безопасности Google и распространения банковского вредоносного ПО или шпионского ПО через поддельные веб-сайты или даже через мессенджеры.

Игра в кошки-мышки продолжается

Хотя Google утверждает, что ни одно из этих приложений не распространялось через Play Store и что Play Protect продолжает блокировать известные угрозы, эксперты предупреждают, что дропперы эволюционируют в универсальные установщики вредоносного ПО.

«Дропперы эволюционировали от нишевых инструментов для высококлассного банковского вредоносного ПО в универсальные установщики для почти любого типа вредоносного приложения, которое может быть большим или маленьким и, по сути, должно пройти мимо региональных защит», — добавила ThreatFabric.

Что могут сделать пользователи

Этот сдвиг подчеркивает продолжающуюся гонку вооружений между защитниками безопасности и киберпреступниками. Для Google и более широкой сообщества безопасности это сигнализирует о необходимости продолжать развивать методы обнаружения, поскольку злоумышленники уточняют свои тактики.

Для обычных пользователей Android это напоминание о том, что бдительность является первой линией защиты: устанавливайте приложения только из доверенных источников, будьте осторожны с приложениями, требующими необычных разрешений, будьте внимательны к подозрительным уведомлениям, особенно к поддельным «обновлениям», и дважды подумайте, прежде чем загружать приложения с веб-сайтов третьих сторон.