Android-софт отключал вредоносные функции, чтобы проникнуть в Play Store

Android-софт отключал вредоносные функции, чтобы проникнуть в Play Store

Android-софт отключал вредоносные функции, чтобы проникнуть в Play Store

В официальный магазин Play Store проник ряд вредоносных Android-приложений, использующих интересный способ обхода различных проверок со стороны Google. Попав в систему пользователя, эти программы начинают выводить навязчивую рекламу и перенаправлять пользователя на определённые URL в браузере.

Злонамеренный софт обнаружили исследователи из компании White Ops, которые тут же передали соответствующую информацию команде безопасности Google. По словам экспертов, за всеми этими приложениями стоит одна киберпреступная группа.

В общей сложности злоумышленники написали 38 программ для Android, каждая из которых заваливала жертву вредоносной рекламой. При этом последние образцы приложений задействовали интересную функцию.

Чтобы обойти ряд необходимых проверок, которым Google подвергает все программы, и попасть в Play Store, приложения отключали вредоносные функции в исходном коде. Эта функциональная возможность стала ключевой, поскольку до этого группировка не хватала с неба звёзд.

По словам аналитиков White Ops, разработчики вредоносных приложений действуют с января 2019 года — именно тогда впервые преступники загрузили свои приложения на площадку Play Store.

В White Ops также высчитали, что в среднем одному зловреду удавалось продержаться в официальном магазине около 17 дней, после чего команда Google удаляла его. К счастью, сейчас все злонамеренные приложения в настоящий момент вычищены.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян удаленного доступа пугает жертв дикими криками и страшными картинками

Эксперты ESET обнаружили необычный плагин, созданный для NonEuclid RAT. Модуль использует Windows API для подачи громких звуковых сигналов и параллельно отображает картинку, которая может привидеться только в страшном сне.

Объявившийся в этом году троян NonEuclid — один из многочисленных форков опенсорсного AsyncRAT. Он тоже обладает модульной архитектурой, позволяющей расширить функциональность зловреда.

При создании NonEuclid вирусописатели дали волю своей фантазии: в отличие от более «классических» собратьев DcRAT и VenomRAT, их детище умеет шифровать данные, брутфорсить пароли к FTP и SSH, подменять адреса криптокошельков в буфере обмена, внедрять в PE-файлы пейлоад по выбору оператора, в том числе на USB-устройствах.

Найденный исследователями новый плагин именуется «Screamer» («кричалка», «пугалка»). В него вшиты пять изображений, и по команде оператора зловред выбирает одно из них для вывода.

Он также получает WAV-файл и значение задержки, а при проигрывании выводит звук и высокие частоты на максимум, манипулируя Windows API.

 

Исследователи полагают, что столь необычный компонент предназначен для диверсий (в случае использования зараженной системы для критически важных операций) и шантажа.

Написанный на C# инструмент удаленного администрирования AsyncRAT был опубликован на GitHub как проект с открытым исходным кодом в 2019 году. С тех пор злоумышленники неустанно плодят вредоносные клоны с дополнительными возможностями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru