Дослідники кібербезпеки з ThreatFabric детально розповідають, як банківські трояни для Android, які крадуть паролі, маскувались під зчитувачі QR-коду, фітнес-монітори, програми для криптовалюти тощо.

Понад 300 000 користувачів смартфонів Android завантажили банківські трояни та стали жертвою зловмисного програмного забезпечення, яке не було виявлено магазином додатків Google Play.

Дослідники з  кібербезпеки з ThreatFabric детально розповіли, що чотири різні форми  зловмисного програмного забезпечення  доставляються жертвам через шкідливі версії часто завантажуваних програм, включаючи сканери документів, зчитувачі QR-кодів, фітнес-монітори та програми для криптовалюти. Додатки часто мають функції, які рекламуються, щоб уникнути підозр у користувачів.

У кожному випадку зловмисний намір програми прихований, і процес доставки зловмисного програмного забезпечення починається лише після встановлення програми, що дозволяє їм обійти виявлення Play Store.

Найпоширенішим із чотирьох сімейств шкідливих програм є Anatsa, яку встановили понад 200 000 користувачів Android – дослідники описують її як «розширений»  банківський троян, який може красти імена користувачів і паролі та використовує журнал доступності, щоб фіксувати все, що відображається на екрані користувача, а кейлоггер дозволяє зловмисникам записувати всю інформацію, введену в телефон.

Зловмисне програмне забезпечення Anasta  було активне з січня, але, схоже, воно отримало значний поштовх із червня – дослідникам вдалося визначити шість різних шкідливих програм, призначених для доставки зловмисного програмного забезпечення. Сюди входять програми, які виглядають як сканери QR-коду, PDF-сканери та програми для криптовалюти, і всі вони розповсюджують шкідливе програмне забезпечення.

Однією з цих програм є сканер QR-коду, який встановили лише 50 000 користувачів, а сторінка завантаження містить велику кількість позитивних відгуків, що може спонукати людей завантажити програму. Користувачі спрямовуються до програм через  фішингові електронні листи  або  шкідливі рекламні кампанії .

Після початкового завантаження користувачі змушені оновлювати додаток, щоб продовжити його використання – це оновлення, яке підключається до сервера та завантажує зловмисне програмне забезпечення Anatsa на пристрій, надаючи злочинцям засоби для крадіжки банківських реквізитів та іншої інформації.

Друге за поширеністю сімейство шкідливих програм, детально описане дослідниками ThreatFabric, — це Alien,  банківський троян для Android,  який також може вкрасти можливості двофакторної аутентифікації і активний понад рік. Шкідливе програмне забезпечення було встановлено 95 000 разів через шкідливі програми в Play Store.

Одною з них є програма для тренувань і фітнес-тренінгів, яка постачається з допоміжним веб-сайтом, розробленим для підвищення довіри. Веб-сайт також служить центром командування та управління шкідливим програмним забезпеченням Alien.

Як і Anasta, початкове завантаження не містить шкідливого програмного забезпечення, але користувачів просять встановити фальшиве оновлення – замасковане під пакет нових режимів фітнесу.

Ще дві форми шкідливого програмного забезпечення, які були вилучені за допомогою подібних методів останніми місяцями, – це Hydra та  Ermac,  які мають загальну кількість щонайменше 15 000 завантажень. ThreatFabric пов’язав Hydra і Ermac з Brunhilda, кіберзлочинною групою, яка, як відомо, націлює шкідливе банківське програмне забезпечення на пристрої Android. І Hydra, і Ermac надають зловмисникам доступ до пристрою, необхідний для крадіжки банківської інформації.

ThreatFabric повідомив Google про всі шкідливі програми, і вони або вже видалені, або перевіряються. Кіберзлочинці постійно намагатимуться знайти способи обійти захист для доставки мобільного шкідливого програмного забезпечення, яке стає все більш привабливим для кіберзлочинців.

“Еко-система банківського шкідливого програмного забезпечення Android швидко розвивається. Ці цифри, які ми спостерігаємо зараз, є результатом повільного, але неминучого зміщення уваги злочинців на мобільний ландшафт. З огляду на це, Google Play Store є найпривабливішою платформою для використання зловмисного програмного забезпечення», – сказав ZDNet Даріо Дурандо, спеціаліст із мобільних шкідливих програм ThreatFabric.

Переконливий характер шкідливих програм означає, що їх важко визначити як потенційну загрозу, але є кроки, які користувачі можуть зробити, щоб уникнути зараження.

«Гарне практичне правило – завжди перевіряти оновлення та завжди бути дуже обережним, перш ніж надавати дозволи, які будуть запитуватися зараженими додатками після встановлення «оновлення» – і остерігатися програм, які просять встановити додаткове програмне забезпечення, — сказав Дурандо.