ThreatFabric обнаружила более 300 000 инъекций заразного кода через приложения в Google Play

Эксперты по информационной безопасности из ThreatFabric провели свое исследование. Проанализировав более 700 приложений, они обнаружили в них скрытые элементы проникновения вредоносного кода, который тяжело обнаружить.

Среди найденных вредоносов был троян Anatsa. Данный троян работал по принципу, при котором вредоносный код поступал с серверной части, причем выборочно, и распространение чаще всего ограничивалось определёнными регионами. Иногда приложение могло запросить установку обновлений из сторонних источников (таким образом получают обновления Android-приложения скачанные не из маркета) и загружало код уже минуя Google Play, в котором приложение оставалось без вредоносного кода и его скачивали и дальше.

Hydra и Ermac вредоносы были объединены в категорию Brunhilda. Вредоносный код для кражи банковских приложений, который был направлен, преимущественно, на США. Код подобного типа существовал и раннее, здесь у нас он с небольшими модификациями.

В некоторых образцах также нашли код от трояна Alien со схожими принципами работы. Отдельную подкатегорию назвали – Gymdrop. По сути, это веб-приложения, в которые уместили сайт фитнес-центра. Это лишь шаблон сайта, у которого не было какой-либо полезной информации. Сайт служил для того, чтобы уговорить пользователей установить поддельное обновление. Получив необходимые разрешения, скачивался файл конфигурации, который и запускал скачивание обновления с вредоносным кодом.

За 4 месяца, 4 больших семейства смогли совершить более 300 тысяч инъекций. Чаще всего подобные приложения маскировались по сканеры QR кодов, PDF сканеры, приложения для безопасности, для двухфакторной аутентификации и другие. Многие из подобных приложений уже заблокированы в Google Play.

По материалам: threatfabric.com