Специалист компании ESET Лукаш Стефанко (Lukas Stefanko) рассказал, что августа по октябрь 2018 года из официального каталога Google Play было удалено 29 приложений, содержавших банковские трояны. Разработчики малвари стремились охватить как можно более широкую аудиторию и маскировали свои «продукты» под самые разные приложения, от гороскопов до бустеров и системных чистильщиков. В общей сложности приложения были установлены более 30 000 раз.

В отличие от другой категории банкеров, которые сразу выдают себя за легитимные приложения финансовых учреждений и обманом вынуждают жертву поделиться данными, обнаруженные Стефанко трояны действуют более скрытно.

Эксперт рассказывает, что такие трояны динамически выбирают цель среди множества приложений, установленных на устройстве жертвы, и внедряют в выбранное приложение кастомные фишинговые формы. Кроме того, малварь способна перехватывать и перенаправлять текстовые сообщения (это необходимо для обхода двухфакторной аутентификации через SMS), перехватывать журнал звонков, скачивать и устанавливать на устройство дополнительные приложения.

После установки вредоносного приложения пользователя ждало два возможных сценария развития событий. Приложение либо сообщало, что оно несовместимо с устройством жертвы, показывало ошибку и якобы удалялось из системы (на самом деле, просто скрываясь с глаз пользователя). Либо некоторые вариации малвари могли демонстрировать заявленную в описании приложений функциональность, например, так происходило с гороскопами.

Независимо от выбранного на первом этапе атаки сценария, на втором этапе в дело вступал зашифрованный пейлоад, скрытый в assets каждого приложения. Пейлоад был зашифрован при помощи base64 и RC4 с использованием жестко закодированного ключа. Если на устройстве не обнаруживалось следов песочницы и аналитических инструментов, происходила расшифровка и на устройство попадали лоадер и пейлоад, непосредственно содержащий банковскую малварь.

Все 29 обнаруженных приложений были загружены в каталог от лица разных разработчиков, но исследователь отмечает, что их объединяет схожий исходный код. Кроме того, приложения общались с одним и тем же управляющим сервером, что также свидетельствует в пользу того, что все они были созданы одной хакерской группой.

В настоящее время все приложения уже удалены из каталога Google Play. Ниже можно увидеть собранную специалистами информацию о вредоносных приложениях.

Теги: CSS, Cleaner Horoscope приложения Power того