Аналитики компании ESET обнаружили, что в магазин приложений Google Play дважды проникало вредоносное шпионское программное обеспечение.
Согласно сообщению, ПО проникало в Google Play, несмотря на проверки.
Оно было создано на основе шпионского инструмента AhMyth с открытым кодом, который был опубликован в 2017 году.
Программа-шпион маскировалась под приложения Radio Balouch и RB Music (предназначены для прослушивания музыки в онлайн-режиме). Последние содержали как легитимные компоненты для потокового радиовещания, так и исходный код RAT-инструмента AhMyth.
Вредоносное ПО могло тайно похищать данные, которые хранятся на зараженном устройстве жертвы, а также отправлять с него SMS-сообщения.
Radio Balouch является первым шпионским приложением, которое попало в официальный магазин приложений для Android. Программа-шпион была удалена с Google Play после обнаружения 2 июля 2019 года, но спустя некоторое время снова появилась в магазине. В каждом случае это ПО было установлено пользователями более 100 раз.
Фото: welivesecurity.com
Специалисты ESET подчеркивают, что приложения на основе AhMyth вообще не должны были попасть в Google Play: команда безопасности Google должна была заранее их обнаружить.
“Вредоносная функциональность в AhMyth не скрыта, не защищена. Поэтому определить приложение Radio Balouch и другие его производные как вредоносные и классифицировать их как принадлежащие к семейству AhMyth, это тривиальная задача. Никакие особенные уловки не использовались для обхода Google IP, не было и попыток отложить вредоносную функциональность. Полагаю, ее не обнаружили сразу, так как сначала пользователям нужно было настроить приложение: установить язык, выдать разрешения, несколько раз нажать на кнопку “Далее”, и только после этого запускался вредоносный код”, – отметил специалист ESET Лукас Стефанко.
По его словам, повторное появление вредоносного ПО в Google Play “должно послужить сигналом тревоги как для группы безопасности Google, так и для пользователей Android”.
Как подчеркивают в ESET, если специалисты компании не улучшат работу защитных механизмов в Google Play, в каталог могут проникнуть новые клоны Radio Balouch или другие подобные шпионские приложения.
Фото: welivesecurity.com
- Ранее сообщалось, что российские хакеры загружают в Интернет-магазины фейковые приложения, которые могут шпионить за владельцами смартфонов.