Вредоносное приложение дважды проникло в официальный магазин Google Play и было незамедлительно удалено после уведомления.
Приложение крадет пользовательские данные, такие как контакты, SMS и файлы, из хранилища мобильного телефона и отправляет их на удаленный C & C-сервер.
Пользователи Andriod были предупреждены о критическом шпионском приложении, которое было доступно для загрузки в официальном магазине Google Play. Было обнаружено, что вредоносное приложение под названием Radio Balouch или RB Music украло личные данные пользователей со смартфонов. Тем не менее, приложение предназначалось для предоставления законного сервиса потокового радио для последователей музыки Balouchi, за исключением того, что оно осуществляется за счет первого в своем роде злонамеренного действия.
Кто обнаружил вредоносное приложение?
Лукас Стефанко, исследователь безопасности из ESET Security, обнаружил вредоносное приложение в магазине Google Play. Злоумышленникам удалось проникнуть в приложение в официальном магазине Google Play дважды, и он был быстро удален командой безопасности Google после уведомления Стефанко.
Исследователи Stefanko и ESET провели обширное расследование и опубликовали подробный отчет. «Тот факт, что Google позволил одному и тому же разработчику публиковать« эту очевидную вредоносную программу »в магазине, является« тревожным », — сказал Стефанко в своем отчете .
Что делает приложение?
Как правило, приложение представляло собой службу потокового Интернет-радио, но в комплекте с функциональностью AhMyth Remote Access Tool (RAT) шпионило за пользователями в фоновом режиме.
Приложение может украсть содержимое, такое как контакты, SMS, файлы, хранящиеся и многое другое с уязвимых устройств.
После первого открытия пользователи могут выбрать язык (английский или фарси), после чего приложение начинает запрашивать разрешения. Одно из таких разрешений запрашивает доступ к хранилищу файлов устройства. В случае отказа радио перестать работать.
Когда пользователи пытаются зарегистрироваться в службе потокового радио, предоставленные учетные данные передаются на удаленный сервер без какого-либо шифрования с использованием протокола HTTP.
Приложение отправляет всю украденную информацию на удаленный сервер C & C.
Вредоносное приложение Radio Balouch позаимствовало свои функциональные возможности у пресловутого RAT с открытым исходным кодом, получившего название AhMyth, которое впервые идентифицировано в январе 2017 года, а позже было обнародовано через GitHub в конце 2017 года. Исследователи ESET постоянно следили за действиями AyMyths в Интернете и сообщали о многих других вредоносных приложениях, основанных на этой крысе.
Сколько пользователей затронуто?
«В Google Play мы дважды обнаруживали разные версии вредоносного приложения Radio Balouch, и в каждом случае приложение имело более 100 установок. Мы сообщили о первом появлении этого приложения в официальном магазине Android в службу безопасности Google 2 июля 2019 года, и оно было удалено в течение 24 часов», — сказал Стефанко.
Когда 13 июля 2019 года вредоносное приложение снова появилось в магазине Google Play, оно снова было удалено после уведомления исследователей ESET.
Однако Стефанко отметил, что вредоносное приложение «Радио» все еще существует во многих сторонних магазинах приложений для Android. Он также распространяется со специального веб-сайта под названием (radiobalouch [.] Com). В дополнение к этим усилиям, злоумышленник распространяет вредоносное приложение через Instagram и выделенный канал YouTube. По всей видимости, их канал на YouTube не продвигался, поэтому общее количество просмотров на видео составило всего 21 просмотр, сказал Стефанко.
Оповещение для пользователей Android и магазина Google Play
«Повторное появление вредоносного ПО Radio Balouch в магазине Google Play должно стать тревожным звонком как для команды безопасности Google, так и для пользователей Android», — сказал Стефанко. «Если Google не улучшит свои защитные возможности, в Google Play может появиться новый клон Radio Balouch или любой другой производный от AhMyth».
