Адваре для Android научились прятать вредоносное поведение от Google

Олег Иванов 25 Октября 2019 - 09:30

Домашние пользователи

Android

Eset

Google

Потенциально опасные программы

Рекламные программы

...

Адваре для Android научились прятать вредоносное поведение от Google

Очередная порция агрессивных адваре, заполняющих дисплей смартфона пользователя рекламными объявлениями, научились скрывать своё вредоносное поведение от сотрудников Google. В общей сумме эти программы скачали восемь миллионов пользователей.

В официальный магазин приложений Google Play Store пробрались 42 адваре. При этом разработчик этих зловредов предусмотрел интересную защиту от анализа — отслеживается API Google.

Вредоносные программы обнаружил специалист антивирусной компании ESET Лукаш Штефанко. По слова эксперта, эта масштабная кампания адваре действовала по меньшей мере с июля 2018 года.

Используя общедоступную информацию, исследователи в области кибербезопасности вычислили автора зловредов: удалось найти его профили в соцсетях, данные об образовании и активность в качестве разработчика приложений для мобильных платформ.

Чтобы пройти все проверки со стороны Google, адваре тщательно скрывали свой вредоносный потенциал. Обойти защитные меры удалось благодаря проверке IP-адреса. Если он соответствовал адресу Google, зловреды не проявляли никакой подозрительной активности.

Помимо этого, в качестве подстраховки использовался механизм задержки — до первого отображения рекламного объявления адваре выжидали 24 минуты. Здесь стоит упомянуть, что стандартная процедура проверки Android-приложений занимает около 10 минут в активном состоянии программы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 12 Сентября 2025 - 13:52

Бэкдоры Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare использует цепочку бэкдоров в атаках на компании РФ и Беларуси

Кибергруппа Head Mare снова напомнила о себе — и на этот раз с обновлённым арсеналом. По данным «Лаборатории Касперского», летом 2025 года они провели новую волну атак на российские и белорусские компании.

Главное отличие от мартовских кампаний — теперь злоумышленники не ограничиваются одним бэкдором, а устанавливают целую цепочку.

В ход идут PhantomRemote, PhantomCSLoader и PhantomSAgent. Иногда к этому добавляются и SSH-туннели, чтобы закрепиться в инфраструктуре и держать удалённый доступ под рукой. По сути, логика проста: если один инструмент заметят и удалят, остальные останутся работать.

Атака по-прежнему стартует со стандартного сценария — рассылки писем с вредоносным вложением. В этот раз это был PhantomRemote, через который можно выполнять команды на заражённой машине.

Дальше в систему подтягиваются дополнительные компоненты — PhantomCSLoader и PhantomSAgent. Они написаны на разных языках, похожи по принципу связи с командным сервером, но отличаются внутренними механизмами. Такая комбинация усложняет задачу защитникам.

Хорошая новость в том, что продукты «Лаборатории Касперского» детектируют всю эту цепочку и способны блокировать атаки Head Mare.