Аналитики компании ThreatFabric обнаружили сразу четыре банковских трояна для Android, которые злоумышленники распространяли через официальный магазин Google Play. За четыре месяца операторы этих кампаний собрали более 300 000 установок вредоносных приложений.
Вредонос под видом полезных программ
Вредоносный код прятался внутри вполне рабочих приложений — сканеров QR-кодов, PDF-сканеров, «инструментов безопасности», фитнес-трекеров и приложений для двухфакторной аутентификации. Формально такие программы действительно выполняли заявленные функции, что помогало им проходить проверку Google Bouncer и не вызывать подозрений у пользователей.
Anatsa: RAT и полуавтоматический вывод средств
В ходе расследования исследователи нашли несколько дропперов в Google Play, созданных специально для доставки банковского трояна Anatsa — одного из наиболее продвинутых представителей своего класса. Троян сочетает функции RAT (инструмента удалённого доступа) с возможностями semi-ATS — полуавтоматизированной системы перевода средств. Дополнительно Anatsa проводит классические оверлейные атаки: поверх интерфейса банковских приложений показывается поддельное окно для перехвата учётных данных, а также ведёт логирование через службы специальных возможностей и кейлоггинг.
Как работают загрузчики (loaders)
Ключевую роль в кампаниях играют так называемые loaders — программы-загрузчики, задача которых обойти проверки защитного ПО магазина приложений. Сами по себе они безобидны, но после установки соединяются с серверами злоумышленников (C2) и уже оттуда подгружают полноценную вредоносную нагрузку. Именно эта схема, по мнению аналитиков, и позволила кампании долго оставаться незамеченной: она не мешает работе сервисов Loader-as-a-Service, которые злоумышленники используют для доставки разных семейств вредоносного ПО.
Hydra, Ermac и Alien
Исследователи связали активность группировки Brunhilda с фальшивым приложением-сканером QR-кодов, через которое распространялись сразу два семейства вредоносов — Hydra и Ermac. Отдельно был выявлен дроппер под названием GymDrop: он рассылал жертвам поддельные уведомления об «обновлении тренировки», под видом которых на устройство загружался банковский троян Alien. После установки образцы Alien обращались к тем же командным серверам, что и дропперы кампании Brunhilda, — это позволило исследователям связать все атаки в единую операцию.
Фейковые сайты и обход правил Google Play
Чтобы дополнительно замаскировать инфраструктуру, злоумышленники создавали поддельные сайты для своих приложений и размещали на них серверы управления загрузчиками. В результате жертвы принимали вредоносный компонент за легитимную часть официального ресурса разработчика. Кампания также подстраивалась под последние изменения политики Google Play, предлагая проверяющим системам «чистые» версии приложений без вредоносного функционала.
Исследователи ThreatFabric советуют пользователям внимательнее проверять ссылки и разрешения, которые запрашивают приложения даже из официального магазина: даже минимальный «вредоносный след» на этапе установки способен обойти существующие ограничения Google Play.
Источник: Cybersecurity News.