Скрытый троянец-загрузчик в Google Play
Как сообщила компания ESET, ее специалисты выявили новое семейство троянцев-загрузчиков, проникших в Google Play под видом легитимных приложений. Чтобы избежать обнаружения, вредоносные программы используют многоступенчатую архитектуру, шифрование и продвинутые механизмы маскировки.
После скачивания и установки приложения не запрашивают «лишние» права и выполняют ожидаемые действия. Вредоносная активность остается невидимой для пользователя и осуществляется в четыре этапа. На первых двух на устройстве в фоновом режиме проводится расшифровка и выполнение двух компонентов, входящих в состав загруженного с Google Play приложения.
На третьем этапе вредоносная программа скрыто скачивает другое приложение, перейдя по закодированному URL-адресу. После пятиминутной задержки пользователю предлагается установить загруженное приложение – оно маскируется под популярный софт (например, Adobe Flash Player) или несуществующую программу с впечатляющим названием (Android Update или Adobe Update). Его задача – расшифровать и выполнить последний, четвертый компонент и получить права, необходимые для его работы.
Троянец позволяет заражать устройства любой вредоносной программой на выбор атакующих. Пока в качестве четвертого компонента выступает мобильный банкер или шпионское ПО. В частности, специалисты ESET наблюдали установку на зараженное устройство банковского троянца MazarBot. После загрузки он выводит на экран поддельные формы авторизации для кражи логинов и паролей от онлайн-банка или данных банковских карт.
Всего в Google Play обнаружено восемь приложений с функциями троянца-загрузчика. После предупреждения специалистов ESET приложения удалены из магазина. ESET рекомендует пользователям проверять рейтинги приложений и отзывы других пользователей, а также использовать антивирусные продукты для защиты мобильных устройств. Антивирусные продукты ESET детектируют угрозу как Android/TrojanDropper.Agent.BKY.