Пользователи Android, будьте осторожны! Это приложение для обеспечения безопасности на самом деле является замаскированным malware

Вредоносный софт, маскирующийся под приложение безопасности

Эту кампанию по распространению вредоносного ПО обнаружили исследователи из компании Bitdefender. В центре кампании — Android-приложение под названием «TrustBastion», которое выдает себя за решение для обеспечения безопасности.

Жертвам атаки демонстрируются рекламные объявления и/или всплывающие окна, утверждающие, что их смартфон заражен. Чтобы удалить предполагаемые угрозы — включая попытки фишинга, мошеннические SMS и другой вредоносный софт — им предлагается установить приложение.

Приложение на первый взгляд кажется безвредным. Однако на самом деле это так называемый «дроппер», то есть само приложение изначально не содержит никаких вредоносных функций, но загружает их позже.

Поддельное обновление загружает вредоносный софт

Сразу после установки TrustBastion отображает якобы необходимое обновление. Окно визуально схоже с официальными диалогами Android или Google Play, и любой, кто соглашается на обновление, в итоге загружает в фоновом режиме модифицированный APK-файл.

Загрузка APK происходит не через подпольные серверы, а через Hugging Face. Платформа широко используется в сообществе разработчиков и ИИ и имеет хорошую репутацию, чем и пользуются злоумышленники: соединения с Hugging Face не классифицируются многими системами безопасности как подозрительные.

Злоупотребление функциями специальных возможностей как вход

После установки фактический вредоносный софт запрашивает обширные разрешения. Он маскируется под системный компонент под названием «Phone Security» и предлагает пользователям активировать функции специальных возможностей Android.

Эти права доступа особенно критичны. Они позволяют приложению считывать содержимое экрана, регистрировать вводимые данные и накладывать другие приложения. Это означает, что вредоносный софт может начать перехватывать ввод каждого PIN-кода и/или шаблона разблокировки, а также отображать поддельные интерфейсы входа поверх реальных приложений.

Такой доступ позволяет перехватывать данные для платежных сервисов, мессенджеров и других конфиденциальных приложений. Собранная информация затем передается на центральный сервер управления, принадлежащий злоумышленникам. Оттуда также могут отправляться новые команды или обновления на зараженные устройства.

Новые варианты затрудняют обнаружение

По данным Bitdefender, злоумышленники полагаются на так называемый серверный полиморфизм для уклонения от обнаружения — короче говоря, новые версии вредоносного ПО генерируются примерно каждые 15 минут. Каждый слегка измененный APK-файл имеет ту же функциональность с незначительными доработками.

За один месяц исследователи насчитали более 6000 различных вариантов. Цель — обойти классические антивирусные сканеры, основанные на сигнатурах. Кампания также несколько раз меняла названия и значки после удаления отдельных пакетов программного обеспечения.

Что делать сейчас?

Пользователям Android следует устанавливать приложения только из Google Play Store и не разрешать установку приложений из внешних источников. Будьте особенно осторожны с приложениями, которые позиционируют себя как программы для обеспечения безопасности или защиты, но при этом требуют обширных системных разрешений. Обязательно активируйте Google Play Protect для максимальной защиты от угроз.

Также будьте бдительны при загрузке приложений и файлов с известных платформ. Авторитетная инфраструктура не гарантирует, что предоставленные файлы безопасны или чисты. Активируйте функции специальных возможностей только тогда, когда вы четко понимаете цель запрашивающего приложения.

Если вы установили подозрительное приложение, немедленно удалите его и просканируйте устройство на наличие вредоносного ПО. В случае сомнений вы также можете сбросить устройство до заводских настроек.