В Google Play Store обнаружены приложения, заражающие вирусами устройства пользователей

В Google Play Store было обнаружено пять вредоносных приложений-дропперов для Android, распространяющих вирусы типа SharkBot и Vultur, которые способны похищать конфиденциальные данные и осуществлять мошеннические операции на устройстве. Суммарно приложения были загружены более 130 000 раз, пишет The Hacker News.

Аналитики ThreatFabric обнаружили в официальном магазине Google Play 5 вредоносных приложений, распространяющих вирусы на устройства, так называемые дропперы.

Исследователи отмечают, что вредоносные приложения для Android продолжают эволюционировать, предлагая хакерам удобный и скрытый путь для получения доступа к устройствам: «Обнаруженные дропперы продолжают непрерывную эволюцию вредоносных приложений, проникающих в официальный магазин. Эта эволюция включает в себя следование недавно введенным политикам и маскировку под файловые менеджеры».

Целью недавно обнаруженных дропперов стало 231 банковское и криптовалютное приложение финансовых учреждений в Италии, Великобритании, Германии, Испании, Польше, Австрии, США, Австралии, Франции и Нидерландах.

В своем отчете эксперты перечисляют следующие вредоносные приложения:

• Codice Fiscale 2022 (com.iatalytaxcode.app): 10 000+ загрузок;
• File Manager Small, Lite (com.paskevicss752.usurf): нет загрузок;
• My Finances Tracker (com.all.finance.plus): 1000+ загрузок;
• Recover Audio, Images & Videos (com.umac.recoverallfilepro): 100 000+ загрузок;
• Zetter Authenticator (com.zetter.fastchecking): 10 000+ загрузок.

Первая кампания, обнаруженная Threat Fabric в начале октября 2022 года, распространяла банкер SharkBot среди итальянских пользователей. Этот вирус способен похищать учетные данные с помощью поддельных запросов входа в систему, наложенных прямо на легитимные формы входа, выполнять кейлоггинг (регистрировать действия пользователя с клавиатурой), воровать и скрывать от пользователя SMS-сообщения, а также получать удаленный контроль над зараженным устройством.

Для SharkBot исследователи обнаружили два приложения-дроппера: Codice Fiscale 2022 и File Manager Small, Lite. Когда пользователь устанавливал эти приложения, вскоре они предлагали ему установить поддельное обновление, которое на самом деле устанавливало вирус.

Интересно, что обычно при установке дополнительных пакетов с удаленного сервера Google требует, чтобы приложения запрашивали разрешение REQUEST_INSTALL_PACKAGES. Но более новые версии Android предупреждают об опасности выдачи такого разрешения, и преступникам становится сложнее убедить пользователей установить «обновление». Поэтому найденный исследователями дроппер попросту открывает веб-страницу, которая выглядит как Google Play, обманом заставляя пользователя нажать кнопку «Обновить» в браузере и обходя необходимость в этом разрешении.

Вторая вредоносная кампания была связана с банковским трояном Vultur, который управляется хак-группой, известной как Brunhilda Project. Vultur способен выполнять самые разные действия на зараженном устройстве, включая стриминг всего происходящего на экране, а также кейлоггинг для социальных сетей и мессенджеров.

Новый вариант Vultur, распространяемый в рамках этой кампании, также обладал ранее неизвестной функциональностью UI-логгинга (подробное протоколирование и содержательный анализ доступа к данным через пользовательские и технические интерфейсы), записи кликов, жестов и любых действий, осуществляемых жертвой на устройстве. В Threat Fabric полагают, что разработчики вредоносного приложения  добавили эту функциональность, чтобы обойти ограничения безопасности Android, которые предотвращают отображение содержимого определенных окон приложений на скриншотах. 

Этого трояна распространяли приложения Recover Audio, Images & Videos, Zetter Authentication и My Finances Tracker. Равно как и дропперы SharkBot, эти дропперы тоже показывают жертве запрос на установку фейкового обновления, замаскированный под уведомление от Google Play. Если пользователь разрешит установку «обновления», оно загрузит и установит вредоносное ПО.

Как узнать, что в телефоне вирус

Чтобы определить проникновение вируса на ваш Android, проанализируйте поведение девайса:

• программы начали сбоить значительно чаще, чем раньше;
• без заметных причин выросли объемы потраченного пакетного трафика;
• на экране появляется непонятная реклама;
• аккумулятор разряжается быстрее ожидаемого;
• корпус телефона теплый или горячий даже в режиме ожидания;
• деньги на мобильном счету заканчиваются без предупреждения;
• в списке установленных приложений есть непонятные записи.

Как удалить вирус с Android

Когда симптомы указывают на наличие вируса в гаджете, время удалить вредителя.

Первым шагом зайдите в Google Play и скачайте антивирус известного разработчика. Запустите проверку и следуйте инструкциям для удаления вируса. Если антивирус не нашел чего-то подозрительного, есть смысл попробовать другой антивирус.

Не во всех случаях антивирус может удалить вредителя. В такой ситуации необходимо запомнить название вирусного файла и его размещение. После этого перезагрузите телефон в безопасный режим. На каждом устройстве это выполняется по собственному алгоритму, поэтому почитайте инструкцию к нему. Часто для активации безопасного режима нужно вызвать меню выключения, зажав кнопку питания. После этого необходимо зажать опцию «Выключить питание».

Перезагрузка в безопасный режим выключает автоматический запуск всех программ, включая вирусы. Перейдите в настройки смартфона в раздел «Приложения» и удалите приложение вируса.

«СП»

Читайте также:

• Как не стать жертвой интернет-мошенников: видеоинструкция
• Почта Молдовы предупредила о мошенниках: они отправляют смс с просьбой оплатить посылку
• Orange предупреждает: мошенники отправляют звонки с международных номеров