Хакеры заражают устройства через Google Play с помощью легитимных приложений.
Специалисты Лаборатории Касперского сообщают , что за $20 тыс. можно приобрести вредоносное приложение, которое жертва может загрузить из Google Play Store.
Эксперты ЛК изучили 9 рынков даркнета в период с 2019 по 2023 год и обнаружили в продаже множество кодов и сервисов для заражения и взлома устройств пользователей через Google Play.
Чтобы внедрить вредоносное приложение в Google Play, киберпреступникам нужно купить учетную запись разработчика Play по цене от $60 до $200 за каждую. После покупки аккаунта злоумышленник сможет использовать загрузчик вредоносных программ.
Шпионское ПО в Play Store может привлечь внимание Google и привести к удалению приложения и учетной записи разработчика. Загрузчик помогает избежать удаления – программа «прячется» в безобидно выглядящем приложении (дроппер), установленном из Google Play, и в определённый момент загрузчик установит обновление, которое содержит вредоносный код, позволяющий хакеру похитить данные или денежные средства.
Обновление также может запрашивать дополнительные разрешения для доступа к файлам жертвы, при этом приложение может отказаться работать, пока не будут предоставлены необходимые привилегии. Такие инструменты более дорогие – от $2 тыс. до $20 тыс., в зависимости от сложности и требуемых возможностей.
По словам исследователей Лаборатории Касперского, троянизированное приложение также может иметь функции обнаружения отладчика или песочницы. При обнаружении подозрительной среды загрузчик может прекратить свою работу или уведомить киберпреступника о том, что вредоносная активность, вероятно, была замечена ИБ-специалистами.
Преступники, которые не хотят платить тысячи долларов за загрузчик, могут заплатить значительно меньше — от $50 до $100 — за услугу привязки, которая скрывает вредоносный APK-файл в легитимном приложении. Однако у такого файла более низкие показатели успешных установок по сравнению с загрузчиками.
Другие незаконные услуги включают в себя VPS-серверы ($300), которые позволяют злоумышленникам перенаправлять трафик или контролировать зараженные устройства, а также веб-инжекторы (от $25 до $80), которые следят за тем, чтобы жертвы посещали выбранные веб-сайты на своих зараженных устройствах и заменяли эти страницы вредоносными, которые крадут учетные данные и прочую информацию.
Кроме того, чтобы увеличить количество загрузок вредоносного приложения и сделать его более привлекательным для других мобильных пользователей, мошенники могут покупать установки по цене от $0,1 до $1 за штуку.
Чтобы не стать жертвой подобных приложений, исследователи напоминают пользователям не устанавливать неизвестные приложения и всегда проверять требуемые разрешения, чтобы убедиться, что программа не получает доступ к большей информации, чем ей нужно для работы. Кроме того организациям рекомендуется защитить учетные записи разработчиков от взлома, используя надежные пароли и многофакторную аутентификацию (МФА). Также рекомендуется следить за форумами даркнета на предмет дампов украденных учетных данных.