Исследователи заявили, что хакеры годами используют Google Play, чтобы распространять программу, которая может украсть широкий спектр конфиденциальных данных.
Эксперты из «Лаборатории Касперского» обнаружили, по крайней мере, восемь таких приложений Google Play, которые датируются 2018 годом, но, основываясь на результатах поиска в архивах, исследователи полагают, что такие вредоносные приложения проникли в официальный магазин Google в 2016 году.
Сотрудники Google удалили последние версии вредоносного ПО вскоре после того, как об этом сообщили исследователи из «Касперского» и Dr.Web. Приложения из более ранних версий уже были удалены, и неясно, что вызвало этот шаг.
Командно-управляющие домены были зарегистрированы еще в 2015 году, что повышает вероятность того, что операция началась еще до 2016 года. Код в вредоносном ПО и подключаемых к нему серверах команд содержит несколько совпадений с известной хакерской группой, называемой OceanLotus, исследователи считают, что приложения — работа этой продвинутой группы.
Злоумышленники, участвовавшие в кампании, использовали несколько эффективных методов, чтобы неоднократно обходить процесс проверки, который использует Google в попытке не допустить появления вредоносных приложений в Play. Один из способов состоял в том, чтобы сначала отправить мягкую версию приложения и добавить бэкдор только после того, как приложение было принято.
Другой подход состоял в том, чтобы во время установки требовалось мало разрешений, а затем динамически запрашивать их, используя код, скрытый внутри исполняемого файла.
Со временем приложения предоставили бэкдор, который собирал данные о зараженном телефоне, включая модель оборудования, версию Android, на которой он работал, и установленные приложения. Такие программы могут также собирать данные о местоположении, журналы вызовов, контакты, текстовые сообщения и другую конфиденциальную информацию.
«Один из последних сэмплов был обнаружен в официальном магазине приложений 6 ноября 2019 г. Мы проинформировали Google о вредоносе, и тот был вскоре устранен», — говорится в публикации «Лаборатории Касперского». При этом сами приложения эксперты не называют, отмечая лишь «специфичность вредоносных приложений».