Разработчик приложений обошел системы безопасности Google Play Store

Разработчик приложений обошел системы безопасности Google Play Store

В двух приложениях, одобренных Google Play, было обнаружено вредоносное ПО.

Компания Google до сих пор не удалила два приложения, содержащие вредоносный функционал. В настоящее время они все еще доступны для загрузки через официальный сервис Google Play.

Приложения называются «Earn Real Money Gift Cards» (программа для получения подарочных карт, устанавливающее другие приложения на вашем телефоне) и «Bubble Shooter Wild Life» (мобильная игра). Обе программы были разработаны и недавно загружены в Google Play одним и тем же разработчиком под именем Boris Block.

Приложения были впервые обнаружены исследователями безопасности SfyLabs , а затем и командой Zscaler . Обе компании заявили, что они уведомили Google. 

«Earn Real Money Gift Cards» содержит троян для мобильного банкинга BankBot. Он впервые появился в Сети в декабре прошлого года и уже использовался несколькими разработчиками вредоносного ПО. Троян стал известен именно своей способностью обходить проверки безопасности Google и проникать в Google Play. По словам Ченгиз Хан Сахина (Cengiz Han Sahin), соучредителя SfyLabs, это уже седьмой случай проникновения BankBot в официальный магазин Google Play.

«Bubble Shooter Wild Life» содержит дроппер. В данном случае исследователи отмечают, что этот образец вредоносного ПО уникален. В частности, их внимание привлекло то, как именно это приложение злоупотребляет функциями специальных возможностей Android.

До сих пор данное вредоносное ПО использовало функцию специальных возможностей для имитации пользовательских нажатий и предоставления доступа к административной учетной записи для контроля над телефоном пользователя.

Одним из последних громких случаев, связанных с вредоносами, злоупотребляющими данной функцией, было появление трояна Svpeng, который был выставлен на продажу на подпольном хакерском форуме.

«Bubble Shooter Wild Life» примечательно тем, как именно вредоносное ПО использует функцию «Сканер доступности», для включения параметра «Установка из неизвестных источников» и установить другое приложение.

Для обхода песочницы Google обе программы ждут 20 минут прежде чем совершать какие-либо вредоносные действия. К этому времени Google уже завершит проверку безопасности, одобрит приложение, и разместит его в Google Play.

На момент написания этой статьи оба приложения все еще доступны в Google Play.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!