Вредоносный код загружался в чистые и проверенные приложения вместе с их обновлениями.
В фирменный магазин Android-приложений Google Play проникла группа мошеннических программ, нацеленных на пользователей Android в Юго-Западной Азии и на Аравийском полуострове. Их загрузили не менее 700 тыс. раз до того, как они были обнаружены, и Google приступила к их удалению, сообщается в блоге компании McAfee.
Вредоносные программы были встроены в фоторедакторы, обои, головоломки, оболочки клавиатуры и другие приложения. Они перехватывали уведомления о SMS-сообщениях, а затем совершали несанкционированные покупки.
Поскольку все приложения проходят процесс проверки перед размещением в Google Play, мошенники отправляли на проверку "чистую" версию приложения, а вредоносный код попадал в него через обновления.
McAfee Mobile Security определила эту угрозу как Android/Etinu. Она продолжает ее отслеживать и сотрудничать с Google для удаления вредоносных приложений из Google Play.
В блоге McAfee расписан механизм действия вредоносного ПО, встроенного в эти приложения. Оно использует динамическую загрузку кода. Зашифрованные файлы вредоносного ПО появляются в папке ресурсов приложения с такими именами, как cache.bin, settings.bin, data.droid или, казалось бы, в виде безобидных png-файлов.
После загрузки вредоносные файлы автоматически расшифровываются, и схема начинает работать.
Исследователи пришли к выводу, что мошенники могли получать сведения об операторе связи пользователя, номере телефона, SMS-сообщениях, IP-адресе, стране и др.
В McAfee Mobile Research считают, что угрозы, использующие функцию перехватом уведомлений, будут продолжать развиваться. Поэтому они рекомендуют пользователям обращать особое внимание на приложения, которые запрашивают разрешения, связанные с SMS и прослушиванием уведомлений. Настоящие приложения для обработки фотографий или установки обоев просто не будут запрашивать их, потому что они не нужны для их запуска. "Если запрос кажется подозрительным, не принимайте его", – напоминают в компании.
Напомним, злоумышленники придумали, как обойти фильтры корпоративных информационных систем, в результате письма со спамом начинают сыпаться в папку "Входящие". В частности из-за этого одна компания получила около 300 тысяч писем со спамом на протяжении одного дня и вынуждена была отключить учетные записи для сброса данных.
Аналитики компании IBM заявили об обнаружении интернет-слежки за логистическими цепочками одной из организаций, занимающихся хранением и доставкой вакцин против COVID-19.