В период с августа по ноябрь 2021 года через официальный магазин Google Play распространились четыре различных трояна для Android, в результате чего было заражено более 300 000 приложений, маскирующихся под, казалось бы, безобидные служебные приложения, позволяющие получить полный контроль над зараженным устройством.
Разработан для предоставления Anatsa (также известного как TeaBot), Alien, ERMAC и Hydra.информационная безопасностьКомпания ThreatFabric заявила, что эти кампании по распространению вредоносного ПО не только более сложны, но и разработаны так, чтобы иметь меньший вредоносный след, эффективно гарантируя, что полезная нагрузка устанавливается только на смартфоны и загружается в процессе распространения.
После установки эти трояны могут использовать инструмент под названием Автоматизированная система передачи (ATS) для тайной кражи паролей пользователей без ведома пользователя и даже могут красть коды двухфакторной аутентификации на основе SMS, нажатия клавиш и экраны. счет слит. Эти приложения теперь удалены из Play Store.
Список вредоносных приложений выглядит следующим образом:
- Двухфакторный аутентификатор (com.flowdivison)
- Защитный охранник (com.protectionguard.app)
- QR CreatorScanner (com.ready.qrscanner.mix)
- Мастер-сканер в реальном времени (com.multifuction.combine.qr)
- Сканер QR-кода 2021 (com.qr.code.generate)
- QR-сканер (com.qr.barqr.scangen)
- Сканер PDF-документов – сканирование в PDF (com.xaviermuches.docscannerpro2)
- Бесплатный сканер PDF-документов (com.doscanner.mobile)
- КриптоТрекер (cryptolistapp.app.com.cryptotracker)
- Тренер тренажерного зала и фитнеса (com.gym.trainer.jeux)
Ранее в этом месяце Google ограничил использование разрешений на доступность, но операторы таких приложений все чаще совершенствуют свои стратегии другими способами, даже если они вынуждены выбирать более традиционные методы (через приложения, установленные в App Market), они также могут использовать вредоносные приложения. для сбора конфиденциальной информации с устройств Android.
Главным из них является метод, называемый управлением версиями, при котором сначала загружается чистая версия приложения, а затем постепенно внедряются вредоносные функции в виде последующих обновлений приложения. Другая тактика — создать похожий веб-сайт управления и контроля (C2), который соответствует теме приложения-дроппера, чтобы обойти традиционные методы обнаружения.
С июня 2021 года ThreatFabric обнаружила в магазине Play Store шесть имплантатов Anatsa, которые были изменены так, чтобы загружать «обновления», а затем предлагать пользователям предоставить разрешение на установку приложений из неизвестных сторонних источников и без полномочий Управления по делам инвалидов.
[Ссылаться на]
https://thehackernews.com/2021/11/4-android-banking-trojan-campaigns.html
Оригинал статьи, автор: CNCSO, при перепечатке указать источник: https://cncso.com/ru/over-300000-devices-attacked-by-4-android-trojans.html
