В период с августа по ноябрь 2021 года через официальный магазин Google Play распространились четыре различных трояна для Android, в результате чего было заражено более 300 000 приложений, маскирующихся под, казалось бы, безобидные служебные приложения, позволяющие получить полный контроль над зараженным устройством.
Компания ThreatFabric, специализирующаяся на кибербезопасности и занимающаяся разработкой Anatsa (она же TeaBot), Alien, ERMAC и Hydra, утверждает, что эти кампании не только более детализированы, но и разработаны таким образом, чтобы иметь меньший вредоносный след, гарантируя, что полезная нагрузка будет установлена только на смартфоны и гарантированно будет загружена в процессе распространения. .
После установки эти трояны могут использовать инструмент под названием Автоматизированная система передачи (ATS) для тайной кражи паролей пользователей без ведома пользователя и даже могут красть коды двухфакторной аутентификации на основе SMS, нажатия клавиш и экраны. счет слит. Эти приложения теперь удалены из Play Store.
Список вредоносных приложений выглядит следующим образом:
- Двухфакторный аутентификатор (com.flowdivison)
- Защитный охранник (com.protectionguard.app)
- QR CreatorScanner (com.ready.qrscanner.mix)
- Мастер-сканер в реальном времени (com.multifuction.combine.qr)
- Сканер QR-кода 2021 (com.qr.code.generate)
- QR-сканер (com.qr.barqr.scangen)
- Сканер PDF-документов – сканирование в PDF (com.xaviermuches.docscannerpro2)
- Бесплатный сканер PDF-документов (com.doscanner.mobile)
- КриптоТрекер (cryptolistapp.app.com.cryptotracker)
- Тренер тренажерного зала и фитнеса (com.gym.trainer.jeux)
Ранее в этом месяце Google ограничил использование разрешений на доступность, но операторы таких приложений все чаще совершенствуют свои стратегии другими способами, даже если они вынуждены выбирать более традиционные методы (через приложения, установленные в App Market), они также могут использовать вредоносные приложения. для сбора конфиденциальной информации с устройств Android.
Главным из них является метод, называемый управлением версиями, при котором сначала загружается чистая версия приложения, а затем постепенно внедряются вредоносные функции в виде последующих обновлений приложения. Другая тактика — создать похожий веб-сайт управления и контроля (C2), который соответствует теме приложения-дроппера, чтобы обойти традиционные методы обнаружения.
С июня 2021 года ThreatFabric обнаружила в магазине Play Store шесть имплантатов Anatsa, которые были изменены так, чтобы загружать «обновления», а затем предлагать пользователям предоставить разрешение на установку приложений из неизвестных сторонних источников и без полномочий Управления по делам инвалидов.
[Ссылаться на]
https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html
Оригинал статьи CNCSO, при воспроизведении просьба указывать источник: https://www.cncso.com/ru/over-300000-devices-attacked-by-4-android-trojans.html
