Новая защита Google: «Мы научим вас не скачивать ерунду». Хакеры: «А мы научим ерунду скачивать саму себя»

Малозаметные дропперы , долгое время служившие вспомогательным элементом в арсенале банковских троянов и RAT-инструментов для Android, сегодня стремительно трансформируются. Специалисты ThreatFabric зафиксировали тревожную тенденцию: теперь дропперы активно используются для доставки куда более простого вредоносного ПО — от шпионских программ до крадущих SMS вредоносов. И что особенно важно — их архитектура уже адаптирована под новую систему защиты Google под названием Pilot Program.

Суть дроппера заключается в его маскировке: он представляет собой обычное приложение без признаков вредоносности, но после установки на устройство извлекает основной вредоносный компонент. Это позволяет обойти первичную проверку безопасности, включая механизмы Play Protect. Особенно актуальным такой подход стал после ужесточения политики Android 13, ограничившей доступ к API и чувствительным разрешениям. Однако дропперы смогли подстроиться и под это, запрашивая доступ к функциям, таким как Accessibility Services, уже после установки полезной нагрузки.

Pilot Program была создана Google специально для борьбы с финансовым мошенничеством в странах с высоким уровнем атак, включая Индию, Бразилию, Таиланд и Сингапур. В отличие от стандартной проверки Play Protect, эта система анализирует приложения в момент установки, особенно при загрузке из сторонних источников. Программа блокирует установку, если обнаруживает подозрительные разрешения — например, на чтение и приём SMS, уведомления или доступ к возможностям для людей с ограниченными возможностями. Однако злоумышленники быстро нашли способ обхода и этих проверок.

Современные дропперы, специально «заточенные» под обход Pilot Program, намеренно делают первый этап установки как можно более «тихим»: без запросов на опасные разрешения, без подозрительного кода и с банальной «экранной заставкой» обновления. В одном из экспериментов исследователи пытались установить через дроппер вполне легитимное, но чувствительное к разрешениям приложение SMS Messenger. В обходной схеме дроппер без проблем проходит начальный этап сканирования, показывая только кнопку «Обновить». Настоящая активность начинается позже — после клика пользователя, когда осуществляется загрузка или расшифровка полезной нагрузки и запрашиваются все нужные разрешения. В этом сценарии Play Protect может и предупредить об угрозе, но окончательное решение всё равно остаётся за пользователем.

Таким образом, между первой установкой и запуском основной вредоносной функции появляется временное окно, которое и эксплуатируют злоумышленники. Даже «простые» вредоносы, не нуждающиеся в специальных разрешениях, теперь прячутся в дропперах — просто потому, что это повышает их шансы на успешное проникновение.

Одним из ярких примеров стал RewardDropMiner — дроппер многофункционального назначения, который на разных этапах использовался для доставки шпионских программ, запуска резервного вредоносного кода и даже скрытого майнинга Monero. В последней версии, известной как RewardDropMiner.B, функциональность майнера и шпионской нагрузки была удалена — по всей видимости, в ответ на огласку и идентификацию используемых кошельков .

Однако RewardDropMiner — далеко не единственный представитель нового поколения дропперов. Исследователи указывают на целую серию аналогичных образцов: SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper, TiramisuDropper. Некоторые из них используют двухфазную установку через Session Installer API, позволяя скрыть реальные запросы к разрешениям и замаскировать вредоносную активность. Другие, как Zombinder, активно распространяются через WhatsApp или поддельные сайты.

Такой подход позволяет злоумышленникам не просто сохранять доступ к устройствам, но и гарантировать доставку полезной нагрузки независимо от того, в каком регионе и под какими защитами работает Android-среда. По сути, дропперы стали универсальным инсталлятором вредоносного ПО любого уровня сложности — от тривиальных шпионов до сложных банковских троянов.

Специалисты подчёркивают: система Play Protect и программа Pilot действительно способны остановить множество угроз, но только в рамках динамично развивающейся системы защиты. Злоумышленники адаптируются быстро — настолько, что решения, эффективные сегодня, уже завтра могут оказаться бесполезными. Эволюция дропперов — яркое тому подтверждение. Они не исчезают, а становятся умнее и изобретательнее, и это требует от защитных решений такого же темпа развития.