За последние месяцы более 300 000 пользователей загрузили вредоносное ПО из Play Store

Эксперты компании ThreatFabric обнаружили, что банковские трояны, распространяющиеся через Google Play Store, заразили более 300 000 устройств. Малварь маскировалась под работающие сканеры QR-кодов, PDF-сканеры, приложения для фитнеса и двухфакторной аутентификации, пишет Хакер.

Проникнув на устройство, банкеры пытались похитить учетные данные пользователей, когда те входили в приложения. Кража учетных данных обычно осуществлялась с помощью оверлеев, отображаемых поверх настоящего экрана входа.

Исследователи пишут, что обнаружили четыре вредоносных кампании по распространению банковских троянов через Google Play Store. Причем недавние изменения в политике Google и усиление контроля за приложениями вынудили злоумышленников изменить тактику и эффективнее избежать обнаружения.

В частности, теперь хакеры создают реалистично выглядящие приложения на самые разные темы, включая фитнес, криптовалюту, сканеры QR-кодов, работу с PDF и так далее. Более того, они создают таким фейкам сайты, соответствующие тематике приложения, чтобы малвари было легче пройти проверки Google. Также ThreatFabric отмечает, что часто такие приложения распространяются только в определенных регионах или становятся вредоносными лишь со временем.

«Наблюдение со стороны Google вынудило хакеров искать способы лучшей маскировки приложений-дропперов. Помимо улучшения самого кода вредоносного кода, кампании по распространению вредоносного ПО в Google Play тоже стали более совершенными. Например, в течение длительного времени в Google Play внедряют тщательно спланированные и небольшие обновления, содержащие вредоносный код, а также управляющий бэкэнда дроппера может полностью соответствовать тематике приложения-дроппера (например, работающий фитнес-сайт для приложения, ориентированного на тренировки)», — рассказывают эксперты.

После установки такое приложение тихо обменивается данными с сервером злоумышленников в ожидании команд. В нужное время сервер велит приложению выполнить фейковое «обновление», которое в итоге загрузит и запустит на устройстве малварь.

Начиная с июля 2021 года вредоносные приложения распространяют четыре банковских трояна: Alien, Hydra, Ermac и Anatsa.

За эти месяцы дропперы были суммарно скачаны и установлены более 300 000 раз, а некоторые приложения успели набрать более 50 000 установок.

Название приложения	Имя пакета
Two Factor Authenticator	com.flowdivison
Protection Guard	com.protectionguard.app
QR CreatorScanner	com.ready.qrscanner.mix
Master Scanner Live	com.multifuction.combine.qr
QR Scanner 2021	com.qr.code.generate
QR Scanner	com.qr.barqr.scangen
PDF Document Scanner – Scan to PDF	com.xaviermuches.docscannerpro2
PDF Document Scanner	com.docscanverifier.mobile
PDF Document Scanner Free	com.doscanner.mobile
CryptoTracker	cryptolistapp.app.com.cryptotracker
Gym and Fitness Trainer	com.gym.trainer.jeux

Также известно какие именно трояны скрывались в тех или иных приложениях:

Master Scanner Live — Alien;
Gym and Fitness Trainer — Alien;
PDF AI : TEXT RECOGNIZER — Anatsa;
QR CreatorScanner — Hydra;
QR CreatorScanner — Ermac.

Распространяемая таким способом малварь атаковала 537 различных приложений, связанных с банковской сферой, электронными кошельками, криптовалютой и почтой. В частности, целями хакеров были учетные данные для Gmail, Chase, Citibank, HSBC, Coinbase, Kraken, Binance, KuCoin, CashApp, Zelle, TrustWallet, MetaMask и так далее.

В настоящее время специалисты Google уже удалили все опасные приложения из Play Store, и советуют пользователям как можно скорее удалить их со своих устройств