Приложение Calculadora de Moneda в Google Play скрывало вредоносного трояна Cerberus
Google получил много критики за то, что в Google Play слишком много вредоносных программ, и вы могли бы сказать, что для этого есть очень веская причина. По сравнению с Apple, Google придерживается гораздо более либеральной политики, когда речь идет о разрешении публикации приложений в магазине Play, и частота, с которой вредоносные программы проскальзывают через трещины, показывает, что проверки не являются достаточно строгими. Тем не менее, иногда хакеры особенно полны решимости сохранить в тайне свои злые намерения. Вчера, например, исследователи из Avast рассказали нам о хитрых уловках, которые киберпреступники использовали для сокрытия недавней атаки на испанских пользователей.
Table of Contents
Хакеры опубликовали конвертер валют в Google Play
Операция началась еще в марте, когда операторы банковского трояна Cerberus опубликовали приложение в официальном магазине Android. Приложение называлось «Calculadora de Moneda» (в переводе с испанского означает «Валютный калькулятор»), и у хакеров не возникло никаких проблем с его проверкой Google.
Это потому, что в этом не было ничего злого. Первоначальная версия Calculadora de Moneda была абсолютно безвредна и даже функционировала как конвертер валют. Цель состояла в том, чтобы заслужить доверие пользователей и заработать его. По сообщению Avast, пару дней назад приложение для конвертации валют имело около 10 тысяч загрузок.
Сроки не совсем ясны, но в какой-то момент между мартом и июлем началась вредоносная стадия операции. Хакеры выдвинули обновление, содержащее несколько строк кода, которые позже загрузят и установят Цербер. Впрочем, они не спешили его запускать. Код оставался бездействующим и был активирован только пару дней назад.
Мошенники развернули банковский троян Cerberus несколько дней назад
Вредоносный код связался с сервером управления и контроля мошенников (C & C) и загрузил файл APK, который, в случае выполнения, установит банковский троян Cerberus.
Цербер представляет собой грозную угрозу. Он мог существовать всего год или около того, но он уже сделал себе имя, и несколько атак за последние несколько месяцев показывают, что его операторы проявляют особый интерес к испаноговорящим пользователям.
В отчете Avast не указано, на какое банковское приложение оно нацелено, но он объясняет, что он крадет пароли, рисуя наложение поверх форм входа приложений и выполняя ввод введенных учетных данных. Троян также имеет возможность читать текстовые сообщения и красть коды аутентификации из таких приложений, как Google Authenticator, что означает, что он способен обходить двухфакторную аутентификацию.
Трудно сказать, сколько людей пострадали, но, как вы видите, все они подверглись серьезному риску. Хорошо, что атака окончена.
Развертывание остановлено... на данный момент
Приложение Calculadora de Moneda начало загружать Cerberus в какой-то момент 6 июля, но спустя несколько часов распространение прекратилось. C & C и вредоносные программы стали неактивными, и приложение для конвертации валют продолжало работать в обычном режиме.
Может быть несколько причин, по которым мошенники решили прекратить кампанию. Они могут надеяться, что меньшая атака поможет им избежать обнаружения. Кроме того, их планы могли измениться после того, как исследователи Avast перехватили кампанию. Мы не должны сбрасывать со счетов мрачную возможность того, что это тест, который предшествует большей атаке.
В любом случае, пользователи должны знать о риске, и они должны знать, что делать, чтобы обезопасить себя. К счастью, в данном конкретном случае дизайн Android может помочь им.
APK файлы из сторонних источников могут быть опасными
Исследователи Avast передали свои результаты в Google, и хотя вы можете найти приложение под названием «Calculadora de Moneda» в Google Play, вредоносное приложение теперь должно быть удалено. Однако следует отметить, что в данном конкретном случае вредоносное ПО фактически не загружалось в магазин Play. В этой атаке конвертер валют действовал как дроппер и загружал полезную нагрузку APK из C & C хакеров.
В зависимости от версии Android отобразит множество предупреждений и запросит разрешения, прежде чем разрешить запуск файла APK на устройстве. Старые версии мобильной операционной системы Google не позволят вам установить файл APK, если вы не измените некоторые настройки по умолчанию.
Это связано с тем, что, хотя вредоносные программы появляются в магазине Play время от времени, по большей части угрозы для Android распространяются через файлы APK, размещенные на сторонних веб-сайтах. Разработчики Android знают, насколько велик риск запуска таких файлов, и они пытаются предупредить вас об этом. Все, что вам нужно сделать, это слушать.
