Некоторые приложения, загруженные из Google Play Store за последние несколько месяцев, были обнаружены в кражах банковских учетных данных пользователей Android.
Согласно новому отчету ThreatFabric, за последние четыре месяца через приложения в Google Play Store было распространено четыре различных кампании угроз. Сообщается, что рассматриваемые приложения, выдающие себя за QR-сканеры, PDF-сканеры и криптовалютные кошельки, были загружены более 300 000 раз и, возможно, получили доступ к паролям пользователей и кодам двухфакторной аутентификации.
Сообщается, что эти приложения смогли обойти системы безопасности Google Play, поначалу предлагая обычное, безопасное приложение, но вводя вредоносное ПО пользователям, загружавшим обновления для приложения.
«Что делает эти кампании по распространению Google Play очень трудными для обнаружения с точки зрения автоматизации (песочницы) и машинного обучения, так это то, что все приложения-дропперы имеют очень небольшой вредоносный след», - говорится в отчете исследователей из компании по обеспечению безопасности мобильных устройств ThreatFabric.. «Эта небольшая площадь является (прямым) следствием ограничений разрешений, применяемых Google Play».
ThreatFabric подробно описывает четыре различных семейства вредоносных программ: Hydra, Ermac, Alien и крупнейшее из четырех, Anatsa. В отчете говорится, что Anatsa способна «выполнять классические атаки с наложением для кражи учетных данных, ведения журнала доступности (захват всего, что отображается на экране пользователя) и ведения журнала клавиатуры».
Рассматриваемые приложения включают PDF Document Scanner Free, Free QR Code Scanner, QR CreatorScanner, Gym and Fitness Trainer и другие. Первое из этих приложений появилось в магазине Google Play в период с начала августа 2021 года по конец октября 2021 года.
Магазин Google Play, похоже, постоянно сталкивается с подобными вредоносными приложениями, и отчет за 2020 год подтвердил, что магазин приложений является основным распространителем вредоносных приложений. Согласно отчету исследовательской группы NortonLifelock и Института программного обеспечения IMDEA, 67% установок вредоносных приложений происходят из магазина Google Play.
Однако в исследовании делается важное замечание о том, что 87 процентов всех установок приложений происходят из самого Play Store, поэтому его размер и массовая популярность, вероятно, способствуют тому, что он сталкивается с большим количеством проблем, чем его конкуренты, такие как Apple App Store.
