Компания ESET — лидер в области проактивного обнаружения — сообщает об обнаружении ряда вредоносных приложений в официальном магазине Android, которые маскируются под легитимные и начинают проявлять свою вредоносную деятельность спустя какое-то время. Нелегитимные программы обнаруживаются продуктами ESET как Android/TrojanDropper.Agent.BKY и образуют новое семейство вредоносных программ с многоуровневой архитектурой.
Специалисты ESET обнаружили восемь приложений этого семейства вредоносных программ в Google Play и сообщили компании Google, которая в свою очередь удалила все выявленные нелегитимные программы из своего магазина. Благодаря этому количество загрузок ни одного из вредоносных приложений не превысило нескольких сотен раз.
Для усложнения обнаружения образцы нелегитимных программ используют многоуровневую архитектуру и шифрование. После загрузки и установки вредоносные приложения имитируют функционал легитимной программы. Наряду с этим они расшифровывают и запускают первый компонент, который в свою очередь незаметно для пользователя выполняет второй компонент, содержащийся в нелегитимной программе.
Второй компонент содержит жестко закодированной URL-адрес, с которого он загружает другое вредоносное приложение без ведома жертвы. Загружена на втором этапе вредоносная программа замаскирована под Adobe Flash Player, «Android Update», «Adobe Update». В любом случае угроза нацелена на загрузку четвертого и последнего компонента, а также на получение всех разрешений, необходимых для дальнейших вредоносных действий.
Во всех зафиксированных случаях окончательным компонентом является мобильный троян, который предоставляет пользователю фальшивые формы входа для кражи учетных данных или данных кредитных карточек.
Одно из вредоносных приложений использовало bit.ly для загрузки последнего компонента. Согласно статистике загрузки, полученной специалистами ESET, по состоянию на 14 ноября 2017 года ссылка использовалась почти 3000 раз с большинством просмотров из Нидерландов.
При загрузке любого из этих приложений жертвам необходимо отключить права администратора для установленного компонента, удалить тайно установленные загрузки и деинсталлировать приложение, загруженное из магазина.
- Для отключения прав администратора для установленного компонента выберите «Настройки»> «Общие»> «Безопасность»> «Пользователи устройства» и найдите Adobe Flash Player, Adobe Update или Android Update.
- Чтобы удалить установленный компонент, откройте «Настройки»> «Общие»> «Диспетчер приложений/Программы» и удалите следующие приложения: Adobe Flash Player, Adobe Update или Android Update.
- Для удаления вредоносного приложения, загруженного из магазина, перейдите в «Настройки»> «Общие»> «Диспетчер приложений/Программы» и найдите приложения с названиями: MEX Tools, Clear Android, Cleaner for Android, WorldNews, WORLD NEWS, WorldNews PRO, ИгровыеАвтоматыСлоты Онлайн или Слоты Онлайн Клуб ИгровыеАвтоматы.
В связи с повышенной активностью вредоносной программы специалисты компании ESET рекомендуют пользователям проверять рейтинги и комментарии перед загрузкой приложений, обращать внимание на разрешения, которые требуют программы, и использовать надежные решения для защиты мобильных устройств от новых угроз.