Пользователи Android, будьте осторожны! Это приложение безопасности на самом деле является замаскированной вредоносной программой

Вредоносное ПО, выдающее себя за приложение безопасности

Эта вредоносная кампания была обнаружена исследователями охранной компании Bitdefender. В основе этой кампании лежит приложение для Android под названием TrustBastion, которое маскируется под решение безопасности.

Жертвы атаки сталкиваются с рекламой и/или всплывающими окнами, утверждающими, что их смартфон заражен. Чтобы удалить предполагаемые угрозы, включая попытки фишинга, мошеннические тексты и другие вредоносные программы, им предлагается установить приложение.

На первый взгляд приложение кажется безобидным. Однако на самом деле это так называемый «дроппер», то есть само приложение изначально не содержит никаких вредоносных функций, а загружает их позже.

Поддельное обновление загружает вредоносное ПО

Сразу после установки TrustBastion отображает якобы необходимое обновление. Окно визуально похоже на официальные диалоговые окна Android или Google Play, и любой, кто соглашается на обновление, в конечном итоге загружает измененный APK-файл в фоновом режиме.

Загрузка APK происходит не через подпольные серверы, а через Hugging Face. Платформа широко используется в сообществе разработчиков и искусственного интеллекта и имеет хорошую репутацию, чем и пользуются злоумышленники: подключения к Hugging Face не классифицируются как подозрительные многими решениями безопасности.

Злоупотребление доступностью как шлюз

После установки фактическое вредоносное ПО запрашивает расширенные разрешения. Он выдает себя за системный компонент под названием «Безопасность телефона» и предлагает пользователям активировать специальные возможности Android.

Эти права доступа особенно важны. Они позволяют приложению считывать содержимое экрана, регистрировать вводимые данные и накладывать данные на другие приложения. Это означает, что вредоносное ПО может начать перехватывать каждый ввод PIN-кода и/или шаблон разблокировки, а также накладывать поддельные интерфейсы входа поверх подлинных приложений.

Этот доступ позволяет перехватывать данные платежных сервисов, мессенджеров и других конфиденциальных приложений. Захваченная информация затем передается на центральный сервер управления, принадлежащий злоумышленникам. Отсюда на зараженные устройства также можно отправлять новые команды или обновления.

Новые варианты затрудняют обнаружение

По данным Bitdefender, для уклонения от обнаружения злоумышленники полагаются на так называемый серверный полиморфизм — короче говоря, новые версии вредоносного ПО генерируются примерно каждые 15 минут. Каждый слегка измененный APK-файл имеет одинаковую функциональность с незначительными изменениями.

В течение одного месяца исследователи насчитали более 6000 различных вариантов. Цель состоит в том, чтобы обойти классические антивирусные сканеры на основе сигнатур. Кампания также несколько раз меняла названия и значки после удаления отдельных пакетов программного обеспечения.

Что вам следует делать сейчас?

Пользователи Android должны устанавливать приложения только из Google Play Store и не разрешать приложения из внешних источников. Вам следует быть особенно осторожным с приложениями, которые претендуют на звание программного обеспечения безопасности или защиты, но при этом требуют расширенных системных разрешений. Обязательно активируйте Google Play Protect для максимальной защиты от угроз.

Вам также следует быть осторожными при загрузке приложений и файлов с известных платформ. Надежная инфраструктура не гарантирует, что предоставленные файлы безопасны и чисты. Активируйте специальные возможности только в том случае, если вы четко понимаете цель запроса приложения.

Если вы установили подозрительное приложение, вам следует немедленно удалить его и проверить свое устройство на наличие вредоносного ПО. В случае сомнений вы также можете сбросить настройки устройства до заводских.