Шпион MobSTSPY разлетелся по всему свету

Google удалила зараженные приложения из своего магазина, однако пользователи успели скачать их до 100 тыс. раз.

Вредоносное ПО MobSTSPY, замаскированное под легитимные Android-приложения, было скачано десятки тысяч раз — в основном с Google Play.

Зараженные программы для мобильных устройств — не редкость, но обычно злоумышленники предпочитают их выкладывать в неофициальных интернет-магазинах. Зловред MobSTSPY умудрился проникнуть в магазин Google под видом как минимум шести различных приложений — фонариков, игр, инструментов для повышения производительности.

Исследователи из Trend Micro обнаружили его на Google Play в прошлом году. Проведенная ими проверка выявила несколько зараженных программ — Flappy Birr Dog, FlashLight, HZPermis Pro Arabe, Win7imulator, Win7Launcher и Flappy Bird. Некоторые из них были загружены более 100 тыс. раз. Пять вредоносных приложений Google изъяла из открытого доступа в феврале; впоследствии все находки экспертов были удалены из официального магазина.

Мониторинг и более тщательное расследование позволили определить масштабы распространения MobSTSPY; как оказалось, его жертвы проживают в 196 странах мира с большой концентрацией в Индии (31,77%). Второе место в этом рейтинге с большим отрывом заняла Россия (7,54%), за ней следуют Пакистан, Бангладеш и Индонезия. В список стран с наибольшим количеством заражений попали также Украина (восьмое место, 2,62%) и США (десятое, 1,53%).

Анализ показал, что основным назначением MobSTSPY является кража данных, однако он также обладает рядом функций для проведения фишинговых атак. Зловреда интересует такая информация, как местоположение пользователя, его текстовые сообщения, контакты, звонки и содержимое буфера обмена. Он также умеет по команде выгружать файлы, найденные на устройстве.

Для обмена с C&C-сервером MobSTSPY использует кросс-платформенное решение Firebase Cloud Messaging (FCM) и вначале отсылает информацию о зараженном устройстве, такую как используемый язык, страна регистрации, имя пакета, производитель устройства и т. п. Доложив об успешном заражении на C&C, шпион приступает к выполнению команд, подаваемых через FCM.

Когда MobSTSPY используется как инструмент для фишинга, он проводит сбор учетных данных, отображая жертве поддельные всплывающие окна Facebook и Google. Ввод идентификаторов в эти формы возвращает сообщение об ошибке — якобы информация неверна, хотя на самом деле она уже украдена.

Вредоносные приложения на Google Play относительно редки, однако иногда им все же удается обойти защитные фильтры и политики. Так, в ноябре из магазина было изгнано троянизированное Android-приложение Simple Call Recorder — после того, как оно почти год было доступно для скачивания. Его основным назначением являлась загрузка других зловредов под видом обновления для Adobe Flash Player.

В начале прошлого года Google удалила 22 приложения класса adware, замаскированных под разные утилиты; на счету этих программ совокупно числилось до 7,5 млн загрузок. В 2017 году с Google Play вычистили более 700 тыс. приложений, нарушавших установленные правила. Далеко не все они были вредоносными, большинство просто копировало более успешные программы или содержало недопустимый контент.

Очистка интернет-магазинов от вредоносных приложений — дело доброе, однако пользователи, успевшие их скачать, никаких оповещений не получают, и это большая проблема. Согласно результатам исследования, проведенного в компании Pradeo в ноябре прошлого года, 89% зловредов продолжают жить на смартфонах в течение шести месяцев после удаления из магазина.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля