В ноябре прошлого года исследователи обнаружили расширение вредоносной активности Android-трояна под названием Anatsa на территорию Словакии, Словении и Чехии. Расширение является частью новой кампании, в ходе которой, несмотря на усиленные механизмы обнаружения и защиты , внедряемые в Google Play, некоторые вредоносные загрузчики успешно эксплуатировали службу специальных возможностей Android.
Как сообщает компания ThreatFabric, все используемые в данной зловредной кампании загрузчики безо всяких проблем справляются со своей задачей, обходя системные ограничения Android 13. Всего в кампании задействовано пять загрузчиков с общим числом установок более 100 тысяч.
Троян Anatsa, также известный как TeaBot и Toddler, распространяется через совершенно безвредные, на первый взгляд, приложения в Play Store. После установки и запуска троян способен полностью контролировать заражённые устройства и совершать различные действия от имени жертвы, включая кражу учётных данных для проведения мошеннических операций.
Одна из версий программы-загрузчика, замаскированная под приложение для очистки системы “Phone Cleaner – File Explorer”, использовала технику управления версиями для внедрения вредоносного кода. То есть, сначала выгруженное в Google Play приложение не содержало какого-либо вредоносного кода. Весь зловредный функционал был добавлен уже с последующими обновлениями, когда тщательная модерация кода со стороны Google, фактически, больше не производится.
Чтобы избежать обнаружения после внедрения вредоносного функционала, злоумышленники использовали многоэтапный процесс заражения. Загрузчик динамически подгружал конфигурацию и полезную нагрузку с ” data-html=”true” data-original-title=”C2″ >C2-сервера, что позволяло хакерам в любой момент изменять вредоносные компоненты по своему желанию.
Несмотря на то, что приложение “Phone Cleaner – File Explorer” больше недоступно в официальном Play Store, его всё ещё можно скачать через сторонние источники. По данным AppBrain, приложение было загружено около 12 000 раз в период между 13 и 27 ноября, прежде чем было удалено.
ThreatFabric отмечает предпочтение злоумышленников концентрировать свои атаки на определённых географических регионах, что приводит к большому числу случаев мошенничества в короткие сроки.
После выхода отчёта ThreatFabric представители Google сообщили, что удалили все приложения, идентифицированные исследователями, а именно:
- Phone Cleaner – File Explorer (com.volabs.androidcleaner)
- PDF Viewer – File Explorer (com.xolab.fileexplorer)
- PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
- Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
- PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Одно из приложений на момент своего удаления 19-го февраля успело набрать 100 тысяч установок. Будем надеяться, что пользователи вовремя заметили неладное и удалили замаскированный дроппер со своего устройства.
Google отмечает, что пользователи Android теперь автоматически защищены от известных версий вредоносного ПО Anatsa благодаря функции Play Protect, которая по умолчанию включена на всех устройствах с сервисами Google.
Функция Play Protect может предупреждать пользователей и блокировать приложения, известные своим вредоносным поведением, даже если они поступают не из официального магазина Play Store.
Но даже несмотря на то, что угроза миновала, а защитные меры Google постоянно улучшаются, – расслабляться всё же не стоит. Чтобы не стать одной из жертв похожего вредоносного ПО, никогда не устанавливайте сомнительные приложения от неизвестных издателей, а также внимательно обращайте внимание на требуемые разрешения. Доступ к службе специальных возможностей и вовсе должен стать для вас лакмусовой бумажкой, если приложение запрашивает такие полномочия, оно скорее всего вредоносное.