Android-троян SharkBot проник на 60 тыс. устройств через Google Play

Екатерина Быстрова 05 Сентября 2022 - 10:26

...

Android-троян SharkBot проник на 60 тыс. устройств через Google Play

Новая обновлённая версия вредоносной программы SharkBot, предназначенной для атак на пользователей Android, пробралась в официальный магазин приложений Google Play Store. Задача зловреда — добраться до банковского софта.

В общей сложности на площадку Play Store проникли два приложения, содержащих SharkBot. Всего их установили десятки тысяч владельцев мобильных устройств. Интересно, что на момент прохождения проверок Play Store софт не содержал вредоносного кода.

Авторы SharkBot действовали грамотно: приложение получало обновление с вредоносным кодом уже после того, как пользователь установил его в систему. Как отметили в блоге специалисты Fox IT, программы “Mister Phone Cleaner” и “Kylhavy Mobile Security” установили 60 тысяч юзеров.

Google уже удалила злонамеренный софт из Play Store, но успевшим установить его пользователям необходимо самостоятельно деинсталлировать “Mister Phone Cleaner” или “Kylhavy Mobile Security”.

Впервые о SharkBot заговорили в октябре 2021 года, когда специалисты итальянской компании Cleafy обратили внимание на активность вредоноса. На тот момент троян мог накладывать свои окна поверх легитимных приложений, записывать нажатия клавиш, перехватывать СМС-сообщения и даже предоставлять операторам возможность удалённо контролировать заражённый девайс.

В марте 2022 года мы писали о том, что SharkBot проник в Play Store под видом антивирусов. А уже в апреле банковский троян попытался вернуться на площадку официального магазина Android-приложений.

22 августа 2022 года исследователи из Fox IT наткнулись на новую версию — SharkBot 2.25. Этот релиз отличается интересной функцией — теперь троян может красть cookies, которые используются для входа в учётные записи банковских приложений. Вредонос также использует возможности Accessibility Services.

«Ранее на устройство пользователя попадал дроппер, который впоследствии задействовал Accessibility Services, чтобы иметь возможность кликать по кнопкам в пользовательском интерфейсе. Именно так дроппер устанавливал Sharkbot», — пишет в блоге Fox IT.

«Сейчас же авторы используют несколько другой принцип: дроппер отправляет запрос командному серверу (C2), чтобы напрямую взять APK-файл Sharkbot».

После получения от C2 вредоносного APK дроппер выводит пользователю сообщение о доступности новой версии приложения. Владельцу мобильного устройства рекомендуют установить апдейт и выдать ему все необходимые права.

Чтобы затруднить детектирование автоматическими средствами, SharkBot хранит жёстко запрограммированную конфигурацию в зашифрованном с помощью алгоритма RC4 виде. Плюсом к функциональности трояна стала возможность красть cookies.

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Мая 2026 - 08:32

Шпионские программы Программы слежения Соответствие законодательству РФ Домашние пользователи Государство Соответствие требованиям регуляторов

МАКС на прослушке? Реверсер заявил о тайной записи звука во время звонков

Пользователь Хабра под ником zarazaexe опубликовал масштабный разбор APK российского мессенджера МАКС и заявил, что обнаружил в приложении функции скрытой записи звука во время звонков, сбора списка установленных приложений, отслеживания VPN, анализа адресной книги, работы с Mobile ID по открытому HTTP и серверного управления рядом важных параметров.

По словам автора реверс-инжиниринга, часть этих механизмов может использоваться без явного уведомления пользователя.

Контекст тут важный: МАКС с 1 сентября 2025 года стал обязательным для предустановки на продаваемые в России смартфоны и планшеты. В списке обязательного ПО он заменил «VK Мессенджер».

Как отметил zarazaexe, приложение собирает и отправляет на серверы VK-аналитики список установленных пользовательских приложений: packageName и время установки. Если список изменился, улетает полный обновлённый снапшот. Поставили VPN, банк, криптокошелёк или игру — приложение это заметит.

Отдельный блок — VPN. Автор пишет, что МАКС умеет определять активное VPN-соединение и по серверному флагу может ограничивать доступ к чатам, звонкам и мини-приложениям. В некоторых сценариях пользователь видит плашку «Отключите VPN, чтобы пользоваться МАКС».

Ещё веселее с адресной книгой. По словам zarazaexe, приложение следит за изменениями контактов через ContentObserver, отправляет размер телефонной книги и собирает хеши номеров, включая людей, которые вообще не зарегистрированы в МАКС. То есть даже если ваш знакомый МАКС не ставил, его номер всё равно может попасть в эту мясорубку в виде хеша.

Автор также описывает механизм принудительного обновления: серверный флаг может отправить пользователя на ForceUpdateScreen, заблокировав сообщения и звонки до установки новой версии с CDN МАКС. Формально это выглядит как защита от устаревших версий, неформально — как рубильник.

В разборе упоминаются и более экзотические вещи: управление NFC из мини-приложений, серверно включаемые фейковые чаты, возможность удалить сообщение из локальной базы пушем, проверка доступности сторонних сервисов вроде Telegram, серверные флаги для поведения TLS, Mobile ID через открытый HTTP, скрытый SDK trace_flow, сбор IP, отладочные команды, аудиодампы звонков и пр.

Самые острые заявления касаются аудио и идентификации устройства. По версии автора, в старых версиях APK присутствовал ML-стек для обработки аудио, включая ASR, KWS и распознавание динамика, а также инфраструктура загрузки моделей с сервера. Для снятия цифрового отпечатка якобы используется Widevine DRM ID — идентификатор из защищённой зоны процессора, который сложно сбросить обычными методами.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!