Новый набор Android-вредоносов в Google Play Store скачали 10 млн раз

Новый набор Android-вредоносов в Google Play Store скачали 10 млн раз

Новый набор Android-вредоносов в Google Play Store скачали 10 млн раз

В Google Play Store нашли очередную порцию вредоносных и рекламных программ для мобильных устройств на Android. Общее количество установок этих приложений достигает десяти миллионов.

Нежелательный софт замаскирован под фоторедакторы, виртуальные клавиатуры, оптимизаторы системы, программы для работы с обоями и т. п. Обеспечивая заявленную функциональность, программы скрывают неописанные возможности: подписка пользователей на платные сервисы без их согласия и ведома, демонстрация агрессивной рекламы и кража учетных данных от аккаунтов в соцсетях.

На новую подборку вредоносов в Google Play Store указали специалисты антивирусной компании «Доктор Веб». Google уже успела удалить ряд этих приложений, однако ещё как минимум три программы можно скачать в официальном магазине.

Согласно отчету «Доктор Веб», выявленные зловреды представляют собой модификации уже известных приложений, впервые появившихся в Google Play Store в мае 2022 года. После установки на мобильном устройстве софт запрашивает ряд разрешений: ему нужно получить доступ к наложению окон поверх других программ и добавить себя в список исключений функции сбережения заряда батареи. Последнее необходимо для того, чтобы вредоносный софт работал в фоне даже после закрытия программы.

 

По традиции злонамеренные приложения прячут иконку или подменяют ее на что-нибудь в духе системных настроек и других компонентов ОС:

 

Одна из программ, получившая имя “Neon Theme Keyboard” выделяется среди других, поскольку из Google Play Store ее загрузили более миллиона пользователей, несмотря на негативные отзывы и рейтинг в 1,8 звезды.

 

Среди вредоносов нашли и знаменитого «Джокера», который прятался под маской “Water Reminder” и “Yoga – For Beginner to Advanced”. Они до сих пор доступны в Play Store (100 000 и 50 000 загрузок соответственно).

 

Полный список вредоносных приложений, от которых в случае установки нужно избавиться, выглядит так:

  • Photo Editor: Beauty Filter (gb.artfilter.tenvarnist)
  • Photo Editor: Retouch & Cutout (de.nineergysh.quickarttwo)
  • Photo Editor: Art Filters (gb.painnt.moonlightingnine)
  • Photo Editor - Design Maker (gb.twentynine.redaktoridea)
  • Photo Editor & Background Eraser (de.photoground.twentysixshot)
  • Photo & Exif Editor (de.xnano.photoexifeditornine)
  • Photo Editor - Filters Effects (de.hitopgop.sixtyeightgx)
  • Photo Filters & Effects (de.sixtyonecollice.cameraroll)
  • Photo Editor : Blur Image (de.instgang.fiftyggfife)
  • Photo Editor : Cut, Paste (de.fiftyninecamera.rollredactor)
  • Emoji Keyboard: Stickers & GIF (gb.crazykey.sevenboard)
  • Neon Theme Keyboard (com.neonthemekeyboard.app)
  • Neon Theme - Android Keyboard (com.androidneonkeyboard.app)
  • Cashe Cleaner (com.cachecleanereasytool.app)
  • Fancy Charging (com.fancyanimatedbattery.app)
  • FastCleaner: Cashe Cleaner (com.fastcleanercashecleaner.app)
  • Call Skins - Caller Themes (com.rockskinthemes.app)
  • Funny Caller (com.funnycallercustomtheme.app)
  • CallMe Phone Themes (com.callercallwallpaper.app)
  • InCall: Contact Background (com.mycallcustomcallscrean.app)
  • MyCall - Call Personalization (com.mycallcallpersonalization.app)
  • Caller Theme (com.caller.theme.slow)
  • Caller Theme (com.callertheme.firstref)
  • Funny Wallpapers - Live Screen (com.funnywallpapaerslive.app)
  • 4K Wallpapers Auto Changer (de.andromo.ssfiftylivesixcc)
  • NewScrean: 4D Wallpapers (com.newscrean4dwallpapers.app)
  • Stock Wallpapers & Backgrounds (de.stockeighty.onewallpapers)
  • Notes - reminders and lists (com.notesreminderslists.app)
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru