Дослідники з компанії Bitdefender виявили нову кампанію зі шкідливим програмним забезпеченням для Android, яке дозволяє зловмисникам відстежувати майже кожну дію на смартфоні. Серед іншого, шкідливе ПЗ перехоплює PIN-коди, облікові дані для входу та вміст месенджерів і банківських додатків.
Особливу небезпеку становить те, що шкідливе ПЗ використовує для поширення Hugging Face — популярну платформу для розробників із бездоганною репутацією.
Шкідливе ПЗ маскується під програму безпеки
В основі цієї кампанії — додаток для Android під назвою TrustBastion, який видає себе за рішення для захисту смартфона.
Жертви атаки стикаються з рекламою та/або спливаючими вікнами, що попереджають про нібито інфікований смартфон. Для видалення нібито виявлених загроз — включно з фішинговими атаками, шахрайськими повідомленнями та іншим шкідливим ПЗ — користувачам пропонують встановити додаток.
На перший погляд програма виглядає нешкідливою. Насправді ж це так званий “dropper” — додаток, який спочатку не містить шкідливих функцій, але завантажує їх пізніше.
Фальшиве оновлення завантажує шкідливе ПЗ
Одразу після встановлення TrustBastion відображає нібито необхідне оновлення. Вікно візуально схоже на офіційні діалоги Android або Google Play Store, і кожен, хто погоджується на оновлення, фактично завантажує у фоновому режимі маніпульований APK-файл.
Завантаження APK відбувається не через підпільні сервери, а через Hugging Face. Цю платформу широко використовують у спільноті розробників та AI-фахівців, вона має гарну репутацію — саме це й експлуатують зловмисники. Багато рішень безпеки не класифікують підключення до Hugging Face як підозрілі.
Зловживання функціями спеціальних можливостей
Після встановлення справжнє шкідливе ПЗ запитує розширені дозволи. Воно видає себе за системний компонент під назвою “Phone Security” і спонукає користувачів активувати функції спеціальних можливостей Android (Accessibility).
Ці права доступу є особливо критичними. Вони дозволяють додатку зчитувати вміст екрана, реєструвати введені дані та накладати вікна поверх інших програм. Це означає, що шкідливе ПЗ може фіксувати кожне введення PIN-коду або графічного ключа, а також накладати фальшиві інтерфейси входу поверх справжніх додатків.
Такий доступ дозволяє перехоплювати дані з платіжних сервісів, месенджерів та інших чутливих додатків. Зібрана інформація потім передається на центральний сервер управління, який контролюють зловмисники. Звідти на заражені пристрої також можуть надсилатися нові команди або оновлення.
Нові варіанти ускладнюють виявлення
За даними Bitdefender, зловмисники покладаються на серверний поліморфізм для ухилення від виявлення — нові версії шкідливого ПЗ генеруються приблизно кожні 15 хвилин. Кожен дещо змінений APK-файл має ту саму функціональність з незначними корективами.
Протягом одного місяця дослідники нарахували понад 6000 різних варіантів. Мета — обійти класичні антивірусні сканери, які працюють на основі сигнатур. Кампанія також кілька разів змінювала назви та значки після видалення окремих пакетів програмного забезпечення.
Рекомендації для користувачів Android
Користувачам Android слід встановлювати додатки виключно з Google Play Store і не дозволяти встановлення програм із зовнішніх джерел. Особливу обережність треба проявляти з додатками, які стверджують, що є засобами безпеки або захисту, але водночас вимагають розширених системних дозволів. Обов’язково активуйте Google Play Protect для максимального захисту від загроз.
Також варто бути обережними при завантаженні додатків та файлів навіть із відомих платформ. Репутація інфраструктури не гарантує, що надані файли є безпечними або чистими. Активуйте функції спеціальних можливостей лише якщо чітко розумієте призначення додатка, який їх запитує.
Якщо ви встановили підозрілий додаток, негайно видаліть його та проскануйте пристрій на наявність шкідливого ПЗ. У разі сумнівів можливо також повернути пристрій до заводських налаштувань.
