Киберпреступники изменили тактику распространения вредоносного ПО для Android, адаптировавшись к усиленным мерам безопасности Google. Согласно отчету голландской фирмы по мобильной безопасности ThreatFabric, приложения-дропперы, которые традиционно использовались для доставки сложных банковских троянов, теперь применяются для распространения более простых угроз, таких как SMS-стилеры и базовое шпионское ПО. Эти кампании в первую очередь нацелены на пользователей в Индии и других азиатских странах, где вредоносные программы маскируются под легитимные правительственные или банковские приложения.
Причиной такого сдвига стала пилотная программа Google Play Protect, запущенная Google в Сингапуре, Таиланде, Бразилии и Индии. Эта программа разработана для блокировки установки сторонних приложений (sideloading), запрашивающих «опасные разрешения», в частности доступ к SMS-сообщениям и службам специальных возможностей (accessibility services). По мнению ThreatFabric, это изменение в тактике злоумышленников доказывает эффективность новых защитных механизмов Google, заставляя преступников искать обходные пути.
Для обхода защиты злоумышленники используют многоступенчатый процесс. Изначально устанавливаемое приложение-дроппер не запрашивает никаких опасных разрешений, что позволяет ему пройти первоначальную проверку безопасности. Пользователю отображается безобидный экран, например, с предложением обновить приложение. Только после того, как пользователь нажимает кнопку «Обновить», дроппер загружает или распаковывает основной вредоносный компонент, который уже после этого запрашивает необходимые ему разрешения.
Эксперты ThreatFabric выявили «критический пробел» в системе защиты. Хотя Play Protect может отображать вторичные предупреждения о рисках, связанных с предоставлением разрешений, система все равно позволяет завершить установку, если пользователь вручную нажимает кнопку «Все равно установить». Это фактически позволяет вредоносному ПО обойти первоначальный, более агрессивный механизм блокировки пилотной программы. Используя дропперы даже для простого вредоносного ПО, злоумышленники создают «защитную оболочку», которая не только уклоняется от текущих проверок, но и позволяет им легко заменять полезную нагрузку для будущих атак.
Одним из ярких примеров является дроппер RewardDropMiner, который доставляет шпионское ПО, а в более ранних версиях также содержал майнер криптовалюты Monero, активируемый удаленно. Этот дроппер распространялся под видом поддельных приложений, нацеленных на пользователей в Индии: PM YOJANA 2025 (com.fluvdp.hrzmkgi), °RTO Challan (com.epr.fnroyex), SBI Online (com.qmwownic.eqmff) и Axis Card (com.tolqppj.yqmrlytfzrxa).
RewardDropMiner является лишь частью более широкой экосистемы. В отчете также упоминаются другие семейства дропперов, использующие схожие тактики, среди которых SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper и TiramisuDropper. Это указывает на то, что данная методика стала распространенным стандартом среди разработчиков вредоносного ПО.
Представители Google в комментарии для издания The Hacker News заявили, что не обнаружили приложений, использующих эти методы, в официальном магазине Google Play. Они подчеркнули, что Google Play Protect автоматически проверяет все приложения на наличие угроз, независимо от источника их установки, и что защита от данных конкретных версий вредоносного ПО была активна еще до публикации отчета ThreatFabric. Компания также сообщила, что «постоянно совершенствует» свои механизмы защиты.
Параллельно с этим румынская компания по кибербезопасности Bitdefender Labs предупредила о другой кампании, использующей схожие элементы тактики. Злоумышленники используют вредоносную рекламу (malvertising) в Ф⃰ для распространения банковского трояна Brokewell. Рекламные объявления, которых было запущено не менее 75, продвигают поддельную бесплатную премиум-версию популярного приложения TradingView для Android.
Эта кампания, активная с 22 июля 2024 года, охватила десятки тысяч пользователей в Европейском союзе. Попав на устройство, усовершенствованная версия трояна Brokewell способна отслеживать действия пользователя, удаленно управлять устройством и красть конфиденциальную информацию. Данная атака является частью более крупной операции, которая также нацелена на пользователей Windows с помощью поддельных финансовых и криптовалютных приложений.
Изображение носит иллюстративный характер
Причиной такого сдвига стала пилотная программа Google Play Protect, запущенная Google в Сингапуре, Таиланде, Бразилии и Индии. Эта программа разработана для блокировки установки сторонних приложений (sideloading), запрашивающих «опасные разрешения», в частности доступ к SMS-сообщениям и службам специальных возможностей (accessibility services). По мнению ThreatFabric, это изменение в тактике злоумышленников доказывает эффективность новых защитных механизмов Google, заставляя преступников искать обходные пути.
Для обхода защиты злоумышленники используют многоступенчатый процесс. Изначально устанавливаемое приложение-дроппер не запрашивает никаких опасных разрешений, что позволяет ему пройти первоначальную проверку безопасности. Пользователю отображается безобидный экран, например, с предложением обновить приложение. Только после того, как пользователь нажимает кнопку «Обновить», дроппер загружает или распаковывает основной вредоносный компонент, который уже после этого запрашивает необходимые ему разрешения.
Эксперты ThreatFabric выявили «критический пробел» в системе защиты. Хотя Play Protect может отображать вторичные предупреждения о рисках, связанных с предоставлением разрешений, система все равно позволяет завершить установку, если пользователь вручную нажимает кнопку «Все равно установить». Это фактически позволяет вредоносному ПО обойти первоначальный, более агрессивный механизм блокировки пилотной программы. Используя дропперы даже для простого вредоносного ПО, злоумышленники создают «защитную оболочку», которая не только уклоняется от текущих проверок, но и позволяет им легко заменять полезную нагрузку для будущих атак.
Одним из ярких примеров является дроппер RewardDropMiner, который доставляет шпионское ПО, а в более ранних версиях также содержал майнер криптовалюты Monero, активируемый удаленно. Этот дроппер распространялся под видом поддельных приложений, нацеленных на пользователей в Индии: PM YOJANA 2025 (com.fluvdp.hrzmkgi), °RTO Challan (com.epr.fnroyex), SBI Online (com.qmwownic.eqmff) и Axis Card (com.tolqppj.yqmrlytfzrxa).
RewardDropMiner является лишь частью более широкой экосистемы. В отчете также упоминаются другие семейства дропперов, использующие схожие тактики, среди которых SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper и TiramisuDropper. Это указывает на то, что данная методика стала распространенным стандартом среди разработчиков вредоносного ПО.
Представители Google в комментарии для издания The Hacker News заявили, что не обнаружили приложений, использующих эти методы, в официальном магазине Google Play. Они подчеркнули, что Google Play Protect автоматически проверяет все приложения на наличие угроз, независимо от источника их установки, и что защита от данных конкретных версий вредоносного ПО была активна еще до публикации отчета ThreatFabric. Компания также сообщила, что «постоянно совершенствует» свои механизмы защиты.
Параллельно с этим румынская компания по кибербезопасности Bitdefender Labs предупредила о другой кампании, использующей схожие элементы тактики. Злоумышленники используют вредоносную рекламу (malvertising) в Ф⃰ для распространения банковского трояна Brokewell. Рекламные объявления, которых было запущено не менее 75, продвигают поддельную бесплатную премиум-версию популярного приложения TradingView для Android.
Эта кампания, активная с 22 июля 2024 года, охватила десятки тысяч пользователей в Европейском союзе. Попав на устройство, усовершенствованная версия трояна Brokewell способна отслеживать действия пользователя, удаленно управлять устройством и красть конфиденциальную информацию. Данная атака является частью более крупной операции, которая также нацелена на пользователей Windows с помощью поддельных финансовых и криптовалютных приложений.
