Хакеры продают вредоносное ПО для Google Play Store

В 2022 году решениями «Касперского» было обнаружено 1 661 743 вредоносных или нежелательных программ, предназначенных для мобильных пользователей. Хотя наиболее распространенным способом распространения таких инсталляторов являются сторонние веб-сайты и сомнительные магазины приложений, их авторам время от времени удается загрузить их в официальные магазины, такие как Google Play. Обычно эти магазины тщательно контролируются, и приложения проходят предварительную модерацию перед публикацией, однако авторы вредоносных и нежелательных программ используют различные уловки, чтобы обойти проверку платформы. Например, они могут загрузить доброкачественное приложение, а затем обновить его вредоносным или сомнительным кодом, заражающим как новых пользователей, так и тех, кто уже установил приложение. Вредоносные приложения удаляются из Google Play сразу после их обнаружения, но иногда уже после того, как они были загружены множество раз.

Многие киберпреступники работают в команде, покупая и продавая аккаунты Google Play, вредоносное ПО, рекламные услуги и многое другое. Это целый подпольный мир со своими правилами, рыночными ценами и репутационными институтами, обзор которых представлен в новом отчете.

Загрузчики

Согласно новому отчету компании Kaspersky, вредоносные программы-загрузчики продаются на  хакерских рынках по цене от 2,000 до 20,000 долларов. Эти программы позволяют хакерам прятать вредоносное ПО в легитимных приложениях таким образом, что Google не может его обнаружить.

В своем отчете «Касперский» отмечает, что «наиболее популярные категории приложений для скрытия вредоносного и нежелательного ПО включают в себя криптовалютные трекеры, финансовые приложения, сканеры QR-кодов и даже приложения для знакомств».

Программы-загрузчики используются для внедрения вредоносного ПО в нормальные приложения, уже существующие в Google Play. Затем это приложение обновляется, и жертва может загрузить вредоносное обновление на свой телефон. В зависимости от того, что именно было внедрено в приложение, пользователь может получить конечную полезную нагрузку вместе с обновлением или получить уведомление, предлагающее включить установку неизвестных приложений и установить их из внешнего источника. В последнем случае, пока пользователь не согласится на установку дополнительного приложения, уведомление не исчезнет. После установки приложения у пользователя запрашиваются разрешения на доступ к ключевым данным телефона, таким как службы доступа, камера, микрофон и т.д. Жертва может не иметь возможности использовать оригинальное легитимное приложение, пока не предоставит разрешения, необходимые для выполнения вредоносных действий. Как только все запрашиваемые разрешения будут предоставлены, пользователь наконец-то сможет использовать законные функции приложения, но в тот же момент его устройство окажется зараженным.Кроме того, некоторые из этих приложений могут определить, отлаживаются ли они, анализируются или устанавливаются в среде «песочницы». Если это так, они прекращают свою вредоносную деятельность, чтобы не попасть в поле зрения исследователей безопасности.

Аккаунты

“Касперский” также подчеркивает, что хакеры покупают взломанные или недавно созданные аккаунты разработчиков Google Play за $60-$200. В то же время аккаунты разработчиков, не имеющие надежного пароля или без включенной двухфакторной аутентификации, могут быть легко взломаны и выставлены на продажу. Это еще хуже, так как хакеры могут загрузить вредоносное ПО в существующие приложения, многие из которых уже имеют большую пользовательскую базу.

Склейка

Сервисы склейки APK — это еще один способ, с помощью которого хакеры могут внедрять свои вредоносные программы в легальные приложения. Они используются для скрытия вредоносных файлов APK внутри другого приложения, чтобы распространять вредоносное ПО через поддельные сайты или фишинговые текстовые сообщения.

Одна из причин популярности сервисов связывания APK заключается в том, что они стоят значительно дешевле программ-загрузчиков, поскольку содержащиеся в них вредоносные приложения недоступны в Play Store.

Обфускация

Кроме того, предлагают и обфускацию кода. Цель ее — обойти системы безопасности путем усложнения вредоносного кода. В этом случае покупатель платит либо за обработку одного приложения, либо за подписку, например, раз в месяц. Поставщик услуг может даже предлагать скидки за покупку пакетов. Например, один из продавцов предлагает обфускацию 50 файлов за 440 долларов, в то время как стоимость обработки только одного файла тем же провайдером составляет около 30 долларов.

Установки

Наконец, чтобы увеличить количество загрузок вредоносного приложения, многие злоумышленники предлагают купить установки, увеличив трафик приложения через Google Ads. В отличие от других предложений, эта услуга полностью легальна и используется для привлечения как можно большего количества загрузок приложения, независимо от того, является ли оно еще легальным или уже взломанным. Стоимость установки зависит от целевой страны. Средняя цена составляет $0.5, а предложения варьируются от $0.1 до $1.

Защита

В целом для защиты компания предлагает простые правила “цифровой гигиены”:

Чтобы оставаться защищенным от мобильных угроз:

• Не разрешайте установку неизвестных приложений. Если какое-то приложение призывает вас сделать это, скорее всего, оно заражено. Если это возможно, удалите приложение и проверьте устройство антивирусом.
• Проверяйте разрешения приложений, которыми вы пользуетесь, и хорошо подумайте, прежде чем предоставлять приложению разрешения, которые ему не нужны для выполнения его основных функций, особенно если речь идет о разрешениях высокого риска, таких как Accessibility Services. Единственное разрешение, которое необходимо приложению для фонарика, — это разрешение на использование фонарика.
• Используйте надежное решение для обеспечения безопасности, которое поможет вам обнаружить вредоносные приложения и рекламное ПО до того, как они начнут плохо себя вести на вашем устройстве.
• Обновляйте операционную систему и важные приложения, как только появляются обновления. Чтобы быть уверенным в том, что обновления приложений являются доброкачественными, включите автоматическое сканирование системы в своем решении безопасности или сканируйте устройство сразу после установки обновлений.
• Организациям необходимо защищать свои учетные записи разработчиков с помощью надежных паролей и 2FA, а также следить за темной паутиной, чтобы как можно раньше обнаружить и устранить утечку учетных данных.