Вредоносное ПО для Android спряталось в приложении, загруженном 50 000 раз из Google Play Store

Созданная для кражи логинов и паролей к банковским приложениям, вредоносная программа была скрыта в приложениях в Google Play Store.

Новая форма вредоносного ПО для Android-банкинга нацелена на клиентов 56 различных европейских банков и была загружена более чем 50 000 пользователей в течение нескольких недель.

Это вредоносное ПО, подробно описанное исследователями кибербезопасности из ThreatFabric , которые назвали его «Xenomorph» из-за ссылок на другой троян под названием Alien , впервые появилось в этом месяце. Вредонос предназначен для кражи имен пользователей и паролей для доступа к банковским счетам и другой конфиденциальной личной информации.

Как и многие другие формы вредоносных программ для Android, вредоносному ПО, по-видимому, удалось обойти защиту и проникнуть на смартфоны через приложения в магазине Google Play.

Одно из идентифицированных приложений было чистым приложением, которое обещало помочь ускорить работу устройства, удалив неиспользуемый беспорядок: приложение было загружено более 50 000 раз.

Похоже, что приложение предлагает рекламируемые функции, но оно также доставляет вредоносное ПО, которое крадет имена пользователей и пароли с помощью фальшивых оверлеев, которые активируются, когда жертва пытается войти в банковские приложения. Наложение отображается вместо реального экрана входа в систему, что означает, что любая введенная информация отправляется злоумышленникам.

В настоящее время мишенью являются банки в Испании, Португалии, Италии и Бельгии. Вредонос также оснащен оверлеями, которые могут красть пароли к учетным записям электронной почты и криптовалютным кошелькам.

Вредоносная программа также может перехватывать SMS и уведомления приложений, чтобы помочь украсть аутентификацию, необходимую для обхода любой многофакторной аутентификации, которая была применена.

ThreatFabric связал Xenomorph с другим вредоносным ПО для Android, Alien , из-за схожести дизайна. Эти две формы вредоносных программ используют одну и ту же страницу HTML-ресурса, чтобы обманным путем заставить жертв предоставить привилегии специальных возможностей, которыми они злоупотребляют, чтобы получить контроль над устройством.

В дополнение к этому, оба имеют схожий стиль отслеживания состояния за счет использования файла «SharedPreferences» — и в обоих случаях файлу было присвоено одно и то же имя, ringO, которое является именем подозреваемого исходного разработчика. Иностранец.

Исследователи также отмечают, что обе формы вредоносных программ используют одни и те же «своеобразные» строки журналов, некоторые из которых восходят к Cerberus , предшественнику Alien.

Исследователи отмечают, что вредоносное ПО все еще находится на ранних стадиях разработки, поскольку многие команды, присутствующие в коде, еще не активны. Кроме того, вредоносное ПО может атаковать банки в более широком диапазоне стран.

«В настоящее время набор возможностей Alien намного больше, чем у Xenomorph. Однако, учитывая, что это новое вредоносное ПО все еще очень молодое и имеет сильную модульную структуру, нетрудно предсказать появление новых функций в ближайшем будущем», сказали исследователи.

Представитель ThreatFabric сообщил ZDNet, что они пометили вредоносное приложение в Google, чтобы оно было удалено из Play Store. ZDNet связался с Google по поводу вредоносного приложения, и вскоре после этого оно было удалено.

«Безопасность и защищенность пользователей — наш главный приоритет, и если мы обнаружим приложение, нарушающее наши правила, мы примем меры», — заявил ZDNet представитель Google.

Поделиться с друзьями
ASTERA