Специалисты по кибербезопасности фиксируют изменение подхода к распространению вредоносных программ в Android-среде. Как сообщается в отчёте компании ThreatFabric, опубликованном на прошлой неделе, всё больше дропперов — приложений, маскирующихся под официальные инструменты — начали использоваться не только для доставки банковских троянов, но и для распространения более простых вредоносов, таких как шпионские модули и программы, крадущие SMS.
По данным ThreatFabric, активность новых вредоносных кампаний особенно проявляется в Индии и других азиатских странах. Злоумышленники используют поддельные приложения, выдаваемые за банковские или правительственные, чтобы заразить устройства пользователей. В компании уточнили, что переход к использованию дропперов с лёгкими вредоносными модулями стал ответом на недавние изменения в системе безопасности Android, тестируемые Google в ряде стран — в частности, в Сингапуре, Таиланде, Бразилии и Индии.
Google начала ограничивать установку программ, которые запрашивают доступ к опасным функциям — например, к SMS или службам специальных возможностей, которые часто используются для получения контроля над устройством. Эти меры уже привели к снижению количества случаев установки вредоносных приложений напрямую через Play Market.
Тем не менее, как заявили в ThreatFabric, злоумышленники адаптируются. Новые дропперы создаются с учётом пилотных ограничений Google — они выглядят как безобидные экраны обновлений и не просят подозрительных разрешений до тех пор, пока пользователь не активирует скрытую функциональность вручную. Основная вредоносная нагрузка доставляется либо с внешнего сервера, либо распаковывается после нажатия на кнопку «Обновить».
Даже несмотря на предупреждения от Google Play Protect, многие пользователи продолжают устанавливать подобные приложения, что позволяет вредоносному ПО обойти встроенную защиту. В ThreatFabric подчёркивают, что Play Protect не способен полностью блокировать угрозу, если пользователь сам подтверждает установку сомнительного приложения, игнорируя предупреждение.
Один из таких дропперов — RewardDropMiner. Ранее он сочетал функции скрытого шпионского ПО и криптомайнера Monero, запуск которого мог производиться удалённо. Сейчас вредоносное ПО избавилось от функций майнинга, но продолжает использоваться для скрытой доставки других опасных компонентов.