Компанія ESET — лідер в галузі проактивного виявлення – повідомляє про виявлення ряду шкідливих додатків в офіційному магазині Android, які маскуються під легітимні та починають проявляти свою шкідливу діяльність не відразу. Нелегітимні програми виявляються продуктами ESET як Android/TrojanDropper.Agent.BKY та утворюють нове сімейство шкідливих програм із багаторівневою архітектурою.
Спеціалісти ESET виявили вісім додатків цього сімейства шкідливих програм в Google Play і повідомили компанію Google, яка в свою чергу видалила усі виявлені нелегітимні програми зі свого магазину. Завдяки цьому кількість завантажень жодного із шкідливих додатків не перевищило кількох сотень разів.
Для ускладнення виявлення зразки нелегітимних програм використовують багаторівневу архітектуру і шифрування. Після завантаження та інсталяції шкідливі додатки навіть імітують функціонал легітимної програми. Поряд з цим вони розшифровують і запускають перший компонент, який у свою чергу непомітно для користувача виконує другий компонент, що міститься в нелегітимній програмі.
Другий компонент містить жорстко закодовану URL-адресу, з якої він завантажує інший шкідливий додаток без відома жертви. Завантажена на другому етапі шкідлива програма замаскована під Adobe Flash Player, «Android Update», «Adobe Update». У будь-якому випадку загроза націлена на завантаження четвертого та останнього компонента, а також на отримання всіх дозволів, необхідних для подальших шкідливих дій.
У всіх зафіксованих випадках остаточним компонентом є мобільний троян, який надає користувачеві фальшиві форми входу для викрадення облікових даних або даних кредитних карток.
Один із шкідливих додатків використовував URL bit.ly для завантаження останнього компонента. Відповідно до статистики завантаження, отриманої спеціалістами ESET, станом на 14 листопада 2017 року посилання використовувалося майже 3000 разів з переважною більшістю переглядів з Нідерландів.
У разі завантаження будь-якого з цих додатків жертвам необхідно деактивувати права адміністратора для інстальованого компонента, видалити таємно встановлене завантаження та деінсталювати додаток, завантажений із магазину.
- Для вимкнення прав адміністратора для встановленого компонента перейдіть до «Налаштування»> «Загальні»> «Безпека»> «Адміністратори пристрою» і знайдіть Adobe Flash Player, Adobe Update або Android Update.
- Щоб видалити встановлений компонент, відкрийте «Налаштування»> «Загальні»> «Диспетчер додатків/Програми» та видаліть такі додатки: Adobe Flash Player, Adobe Update або Android Update.
- Для видалення шкідливого додатку, завантаженого з магазину, перейдіть до «Налаштування»> «Загальні»> «Диспетчер додатків/Програми» і знайдіть додатки з назвами: MEX Tools, Clear Android, Cleaner for Android, WorldNews, WORLD NEWS, WorldNews PRO, ИгровыеАвтоматыСлоты Онлайн або Слоты Онлайн Клуб ИгровыеАвтоматы.
У зв'язку з підвищеною активністю шкідливої програми спеціалісти компанії ESET рекомендують користувачам перевіряти рейтинги та коментарі перед завантаженням додатків, звертати увагу на дозволи, які потребують програми, та використовувати надійні рішення для захисту мобільних пристроїв від нових загроз.