Более 300,000 устройств Android заражены вредоносными банковскими троянами

Более 300,000 пользователей Google Play Store были заражены банковскими троянами для Android, согласно новому отчету компании ThreatFabric, занимающейся мобильной безопасностью.

В прошлом месяце исследователи безопасности из ThreatFabric обнаружили четыре различные кампании по распространению вредоносного ПО, распространяющего банковские трояны в Google Play Store. Эти трояны в основном относятся к четырем семействам вредоносного ПО — Anatsa, Alien, Hydra и Ermac, которые распространялись с августа по ноябрь 2021 года и были загружены более 300,000 раз.

Эти вредоносные приложения для Android выдавали себя за QR Scanner, QR Scanner 2021, PDF Document Scanner, PDF Document Scanner Free, Two Factor Authenticator, Protection Guard, QR CreatorScanner, Master Scanner Live, CryptoTracker и Gym and Fitness Trainer.

В ходе исследования, посвященного техникам распространения различных семейств вредоносного ПО, аналитики ThreatFabric обнаружили множество дропперов, расположенных в Google Play, предназначенных для распространения именно банковского трояна Anatsa.

Anatsa был обнаружен ThreatFabric в январе 2021 года. Это довольно продвинутый банковский троян для Android с возможностями RAT и полу-ATS. Он также может выполнять классические атаки наложения, чтобы украсть учетные данные, вести журнал доступности (захватывая все, что отображается на экране пользователя) и регистрировать нажатия клавиш.

Первый дроппер был обнаружен в июне 2021 года под видом приложения для сканирования документов. В общей сложности аналитики ThreatFabric смогли идентифицировать 6 дропперов Anatsa, опубликованных в Google Play с июня 2021 года.

Эти приложения выдавали себя за сканеры QR-кодов, сканеры PDF и приложения для криптовалют. Одно приложение-дроппер было установлено более 50,000 раз, при этом общее количество установок всех дропперов превысило 100,000 установок.

«Исполнители позаботились о том, чтобы их приложения выглядели легитимными и полезными. Есть большое количество положительных отзывов о приложениях. Количество установок и наличие отзывов могут убедить пользователей Android установить приложение. Более того, эти приложения действительно обладают заявленной функциональностью, после установки они работают нормально и дополнительно убеждают жертву в своей легитимности», — отметили исследователи.

Кроме того, были установлены дропперы из семейств вредоносного ПО Alien (95,000+) и Hydra/Ermac (15,000+). В то время как Alien может украсть важную информацию даже в процессе двухфакторной аутентификации, другие два предоставляют злоумышленникам доступ к устройству, необходимый для кражи банковской информации пользователей.

Дроппер-приложения имеют очень небольшой вредоносный след, что является (прямым) следствием ограничений разрешений, введенных Google Play.

Хорошим примером является изменение, введенное 13 ноября 2021 года Google, которое ограничивает использование служб доступности, которые ранее использовались дроппер-кампаниями для автоматизации и установки приложений без согласия пользователя.

«Это полицейское регулирование со стороны Google заставило исполнителей искать способы значительно уменьшить след дроппер-приложений. Кроме улучшенных усилий по коду вредоносного ПО, кампании по распространению в Google Play также стали более изощренными, чем предыдущие кампании», — объяснили исследователи ThreatFabric в своем отчете.

«Например, путем введения тщательно спланированных небольших обновлений вредоносного кода на протяжении более длительного времени в Google Play, а также с использованием дроппер C2 бэкенда, полностью соответствующего теме дроппер-приложения (например, работающий сайт Fitness для приложения, ориентированного на тренировки).»

Чтобы сделать себя еще более трудными для обнаружения Google и антивирусными поставщиками, исполнители этих дроппер-приложений активируют установку банковского трояна на зараженном устройстве только вручную, чтобы нацелиться на конкретный регион мира или на более поздние даты, чтобы еще больше избежать обнаружения. Это делает автоматическое обнаружение гораздо более сложной стратегией для любой организации.

В результате почти все трояны имели или имеют 0/62 FUD-оценку на VirusTotal в какой-то момент времени, подтверждая сложность обнаружения дроппер-приложений с минимальным следом.

«За всего лишь 4 месяца через Google Play было распространено 4 крупных семейства Android, что привело к более чем 300,000 инфекциям через несколько дроппер-приложений. Замеченной тенденцией в новых дроппер-кампаниях является то, что исполнители сосредоточены на загрузчиках с уменьшенным вредоносным следом в Google Play, что значительно увеличивает трудности в их обнаружении с помощью автоматизации и методов машинного обучения», — заключает отчет.

«Небольшой вредоносный след является результатом новых ограничений Google Play (текущих и планируемых), чтобы ограничить использование конфиденциальности в отношении разрешений приложений.»

После обнаружения вредоносных приложений ThreatFabric сообщила о всех них в Google, которые теперь были удалены из Play Store, как подтвердил представитель Google в интервью ZDNet.

«Экосистема банковского вредоносного ПО для Android быстро развивается. Эти цифры, которые мы наблюдаем сейчас, являются результатом медленного, но неизбежного сдвига фокуса преступников к мобильной среде. С учетом этого, Google Play Store является наиболее привлекательной платформой для распространения вредоносного ПО», — сказал Дарио Дурандо, специалист по мобильному вредоносному ПО в ThreatFabric, в интервью ZDNet.

«Хорошее правило — всегда проверять обновления и всегда быть очень осторожным перед предоставлением привилегий службам доступности — которые будут запрашиваться вредоносной нагрузкой после установки «обновления» — и остерегаться приложений, которые просят установить дополнительное программное обеспечение», — рекомендовал Дурандо пользователям, чтобы избежать заражения.