На скриншоте выше показаны три примера приложений с вредоносной добавкой, которые какое-то время висели в официальном магазине приложений Google Play. Во всех присутствовал троян семейства Jocker. Так как в данном случае стоит задача прорваться сквозь проверки в аппстор, первоначальная версия приложения не содержит вредоносного кода. После установки активируется загрузчик, подгружающий «дополнительную функциональность», но и он срабатывает после простой проверки: опубликовано ли приложение в магазине? Если нет, программа считает, что выполняется в сендбоксе проверяющего и скрывает вредоносную функциональность.
Процесс загрузки тоже слегка усложнен: истинная вредоносная программа зачастую содержится только в четвертом загружаемом файле. Далее с сервера управления загружается ссылка на страницу с подпиской на платную услугу (своя для каждого региона, в котором расположена жертва). Страница открывается в невидимом для пользователя окне. Если для подписки требуется ввести код подтверждения, присланный в SMS, Jocker перехватывает этот код, причем для этого ему даже не требуется доступ к текстовым сообщениям: код считывается из нотификаций. За первый квартал этого года Jocker чаще всего обнаруживался у пользователей в Саудовской Аравии, Германии и Польше.
В случае с Jocker приложения чаще всего выполняют обещанное — если заявлена возможность сканирования и распознавания документов, то она есть. Для попадания в Google Play злоумышленники часто крадут простые утилиты, добавляют к ним вредоносный код и подают множество заявок на публикацию, в надежде, что хотя бы часть пройдет проверку. А вот семейство троянов Grifthorse.ae представляет собой противоположный случай: эти приложения вообще ничего полезного не делают. Более того, они представляют собой пример самого примитивного вредоносного ПО: при запуске у пользователя просят ввести номер телефона и подписывают пользователя на платную услугу, где кроме номера больше ничего и не требуется.
Чуть более сложный сценарий реализует семейство GriftHorse.l. В одном из вариантов вредоносная программа прикидывается приложением для похудения (и под такой личиной проникает в Google Play). После прохождения банального опросника вам предлагают ввести данные кредитной карты для получения «индивидуального плана». Вместо одноразового платежа оформляется регулярная подписка, отменить которую в приложении нельзя. Более того, в отзывах к приложению пользователи жаловались, что и план похудения не приходит! Таким образом, GriftHorse.l уходит от традиционной схемы, завязанной на платные мобильные услуги.
Троян Vesub не пытается проникнуть в Google Play, вместо этого рассчитывая на желающих загрузить ценное ПО из сторонних источников. В данном случае, естественно, никакой функциональности, кроме оформления платных подписок, у приложения не наблюдается.
Наконец, исследователи упоминают троян MobOk, который часто распространяется вместе с другим вредоносным ПО — Triada. Последнее известно тем, что иногда встречается в предустановленных (часто — системных и неудаляемых) приложениях на смартфонах третьего эшелона. То есть телефон имеет вредоносную функциональность из коробки. Как и Jocker, MobOk подписывает пользователя на платную услугу в невидимом окне, перехватывает код подтверждения из уведомлений. Помимо этого, он также содержит функциональность для распознавания капчи. Чаще всего за первые три месяца 2022 года MobOk атаковал пользователей России, Индии и Индонезии и в целом был наиболее часто детектируемым вредоносным приложениям с «подписной» функциональностью.
ссылка на оригинал статьи https://habr.com/ru/company/kaspersky/blog/664940/
Добавить комментарий