Компания ESET — лидер в области проактивного обнаружения — предупреждает о распространении вредоносных программ под видом легитимных в турецком неофициальном магазине приложений для Android — CepKutusu.com. Вместо желаемых программ на устройство пользователя загружается банковское вредоносное программное обеспечение. Угроза способна перехватывать и отправлять SMS-сообщения, отображать фальшивую активность, а также загружать и устанавливать другие приложения.
После установки на устройство жертвы вредоносное программное обеспечение не маскируется под выбранное для загрузки пользователем приложение, а имитирует функционал приложения Flash Player. Через несколько недель после обращения исследователей ESET к операторам магазина вредоносная деятельность в данном магазине прекратилась.
«Распространение вредоносного программного обеспечения в массовом масштабе через магазин приложений является достаточно серьезной угрозой. В операционной системе Windows и в браузерах эта техника, как известно, использовалась некоторое время. Тогда как для платформы Android это, действительно, новый вектор атаки», — рассказывают специалисты ESET.
По мнению исследователей ESET, в этом конкретном случае киберпреступники, вероятно, проводили тестирование угрозы. Замена ссылок всех приложений на ссылку с вредоносной программой не требовала никаких особых усилий от киберпреступников. Кроме этого, пользователи могли выявить мошенничество сразу после загрузки, получив вместо желаемой программы функционал Flash Player. Эта версия также объясняет, почему было зафиксировано лишь около нескольких сотен заражений. Если бы мошенники добавили вредоносный функционал к каждой из программ в магазине и распространяли зараженную версию приложения, количество жертв могло бы значительно возрасти.
Cуществуют несколько версий происхождения угрозы. Магазин приложений мог быть создан с намерением распространять вредоносное программное обеспечение или использован с вредоносными целями одним из его работников. Кроме этого, магазин приложений, возможно, сам стал жертвой киберпреступников.
В любом случае атака не могла остаться незамеченной легитимным магазином. Жалоб пользователей, подозрительных журналов сервера и изменений в коде быть достаточно для операторов, особенно если вредоносная деятельность осуществлялась в течение длительного времени. Стоит отметить, что специалисты ESET обратились к операторам магазина, но еще не получили ответа.
В связи с возможностью дальнейшего использования киберпреступниками этого вектора атаки специалисты ESET подготовили для пользователей советы по безопасной загрузке приложений:
- Загружайте приложения только из официальных магазинов приложений, поскольку альтернативные магазины часто привлекают авторов вредоносных программ возможностями не только для распространения отдельных угроз, а также для проведения массовых кампаний.
- Будьте особенно осторожны во время загрузки контента из Интернета. Обращайте внимание на подозрительное название, размер и расширение файла, так как многие угрозы можно обнаружить сразу и вовремя избежать заражения ими.
- Используйте надежные решения для защиты мобильных устройств от новых угроз. Стоит отметить, что продукты ESET обнаруживают эту вредоносную программу, скрытую в неофициальном магазине приложений, как Android/Spy.Banker.IE и предотвращают ее загрузку на устройства пользователей.