В Android-приложении обнаружено 100 миллионов вредоносных программ-троянцев-дропперов

Исследователи обнаружили вредоносный модуль Trojan Dropper, спрятанный в приложении CamScanner для Android, загруженном пользователями Google Play Store более 100 миллионов раз.

Вредоносный компонент был обнаружен исследователями безопасности «Лаборатории Касперского» Игорем Головиным и Антоном Киввой при внимательном изучении внутренней части приложения CamScanner после потока негативных отзывов, опубликованных пользователями за последние несколько месяцев.

В качестве подтверждения внезапного увеличения негативных оценок и отзывов пользователей, обычно указывающих на то, что с приложением что-то не так, исследователи обнаружили, что «разработчик добавил к нему рекламную библиотеку, содержащую вредоносный компонент-дроппер».

Подобные модули предустановлены на недорогих устройствах

Это не первый случай обнаружения вредоносных модулей этого типа на смартфонах Android: предустановленные версии были обнаружены на более чем 100 недорогих устройствах Android в 2018 году и более чем на двух десятках моделей устройств в 2016 году.

В обоих случаях вредоносный компонент использовался злоумышленниками для рассылки рекламы на зараженные устройства, в то время как смартфоны и планшеты Android, обнаруженные как скомпрометированные, также устанавливали нежелательные приложения за спиной пользователей.

В данном случае, хотя CamScanner изначально был законным приложением для Android, использующим покупки внутри приложения и монетизацию на основе рекламы, «в какой-то момент это изменилось, и последние версии приложения поставлялись с рекламной библиотекой, содержащей вредоносный модуль», – говорит Касперский. .

Модуль, получивший название Necro.n и определяемый мобильным решением Kaspersky для защиты от вредоносных программ как Trojan-Dropper.AndroidOS.Necro.n, представляет собой Trojan Dropper , штамм вредоносного ПО, используемый для загрузки и установки троянского загрузчика на уже скомпрометированные устройства Android, которые можно использовать заражать зараженные смартфоны или планшеты другими вредоносными программами.

Когда приложение CamScanner запускается на устройстве Android, дроппер Necro.n расшифровывает и выполняет вредоносный код, хранящийся в файле mutter.zip, обнаруженном в ресурсах приложения.

«В результате владельцы модуля могут использовать зараженное устройство в своих интересах любым способом, который они считают нужным, от показа навязчивой рекламы жертве до кражи денег с ее мобильного счета путем взимания платы за подписку», – обнаружили исследователи.

Google удалил приложение из Play Store после того, как исследователи «Лаборатории Касперского» сообщили о своих результатах, но, как они также добавили, «похоже, что разработчики приложений избавились от вредоносного кода с помощью последнего обновления CamScanner».

«Однако имейте в виду, что версии приложения различаются для разных устройств, и некоторые из них могут по-прежнему содержать вредоносный код», – заключают они.

Полный список индикаторов компрометации (IOC), включая MD5-хэши образцов вредоносных программ Necro.n, распространяемых злоумышленниками, и домены серверов управления (C2), использованные в этой кампании, доступен в конце отчета «Лаборатории Касперского» .

Это еще один инцидент, затронувший пользователей Play Store в августе, когда исследователи ранее обнаружили троян-кликер, включенный в более чем 33 приложения, распространяемые через официальный магазин Android от Google и загруженные более 100 миллионов раз.

Кроме того, только на прошлой неделе приложение для Android, включающее возможности шпионского ПО AhMyth Android RAT с открытым исходным кодом, сумело обойти автоматическую защиту от вредоносных программ в Google Play Store дважды в течение двух недель, как выяснили исследователи ESET.

Источник https://bdroid.ru/

Оставьте комментарий