Carding
Professional
- Messages
- 2,871
- Reaction score
- 2,331
- Points
- 113
Команда безопасности Google Cloud признала распространенную тактику, известную как управление версиями, используемую злоумышленниками для распространения вредоносного ПО на устройствах Android после обхода процесса проверки в Google Play Store и мер безопасности.
Этот метод работает либо путем внедрения вредоносных полезных нагрузок через обновления, поставляемые в уже установленные приложения, либо путем загрузки вредоносного кода с серверов, находящихся под контролем субъектов угрозы, в так называемой динамической загрузке кода (DCL).
Оно позволяет субъектам угрозы развертывать свои полезные программы в виде собственного кода, кода Dalvik или кода JavaScript на устройствах Android, обходя проверки статического анализа app Store.
"Один из способов, которым злоумышленники пытаются обойти средства контроля безопасности Google Play, - это управление версиями", - говорится в отчете об угрозах этого года.
"Управление версиями происходит, когда разработчик выпускает в Google Play Store первоначальную версию приложения, которая выглядит законной и проходит наши проверки, но позже получает обновление со стороннего сервера, изменяющее код на устройстве конечного пользователя, который допускает вредоносную активность".
В то время как Google заявляет, что все приложения и исправления, представленные для включения в Play Store, проходят тщательную проверку PHA (потенциально вредоносное приложение), "некоторые из этих элементов управления" обходятся через DCL.
.png "Контроль безопасности Play Store обходится с помощью управления версиями (DCL)")
Контроль безопасности Play Store обходится с помощью управления версиями (Google)
Google объяснила, что обнаруженные приложения, участвующие в таких действиях, нарушают политику обманного поведения в Google Play и могут быть помечены как бэкдоры.
В соответствии с руководящими принципами Play Policy Center компании приложениям, распространяемым через Google Play, категорически запрещено изменять, заменять или обновлять себя любыми способами, кроме официального механизма обновления, предоставляемого Google Play.
Кроме того, приложениям строго запрещено загружать исполняемый код (например, dex, JAR или .so files0 из внешних источников в официальный Android App Store).
Google также выделила конкретный вариант вредоносного ПО под названием SharkBot, впервые обнаруженный командой Cleafy по анализу угроз в октябре 2021 года и известный тем, что использует эту технику в дикой природе.
SharkBot - это банковское вредоносное ПО, которое совершает несанкционированные денежные переводы по протоколу службы автоматизированных переводов (ATS) после компрометации устройства Android.
Чтобы избежать обнаружения системами Play Store, злоумышленники, ответственные за SharkBot, приняли ставшую общепринятой стратегию выпуска версий с ограниченной функциональностью в Google Play, скрывая подозрительный характер своих приложений.
Однако, как только пользователь загружает троянское приложение, оно загружает полную версию вредоносного ПО.
Sharkbot был замаскирован под антивирусное программное обеспечение для Android и различные системные утилиты и успешно заразил тысячи пользователей с помощью приложений, которые прошли проверку Google Play Store на вредоносное поведение.
Репортер по кибербезопасности Брайан Кребс также рассказал об использовании другого метода обфускации мобильных вредоносных программ для той же цели, недавно представленного исследователями безопасности ThreatFabric.
Этот метод эффективно нарушает работу инструментов анализа приложений Google, не позволяя им сканировать вредоносные APK-файлы (пакеты приложений Android). В результате эти вредоносные APK-файлы могут успешно устанавливаться на устройства пользователей, несмотря на то, что они помечены как недействительные.
(c) https://www.bleepingcomputer.com/ne...android-malware-slips-onto-google-play-store/
Этот метод работает либо путем внедрения вредоносных полезных нагрузок через обновления, поставляемые в уже установленные приложения, либо путем загрузки вредоносного кода с серверов, находящихся под контролем субъектов угрозы, в так называемой динамической загрузке кода (DCL).
Оно позволяет субъектам угрозы развертывать свои полезные программы в виде собственного кода, кода Dalvik или кода JavaScript на устройствах Android, обходя проверки статического анализа app Store.
"Один из способов, которым злоумышленники пытаются обойти средства контроля безопасности Google Play, - это управление версиями", - говорится в отчете об угрозах этого года.
"Управление версиями происходит, когда разработчик выпускает в Google Play Store первоначальную версию приложения, которая выглядит законной и проходит наши проверки, но позже получает обновление со стороннего сервера, изменяющее код на устройстве конечного пользователя, который допускает вредоносную активность".
В то время как Google заявляет, что все приложения и исправления, представленные для включения в Play Store, проходят тщательную проверку PHA (потенциально вредоносное приложение), "некоторые из этих элементов управления" обходятся через DCL.
Контроль безопасности Play Store обходится с помощью управления версиями (Google)
Google объяснила, что обнаруженные приложения, участвующие в таких действиях, нарушают политику обманного поведения в Google Play и могут быть помечены как бэкдоры.
В соответствии с руководящими принципами Play Policy Center компании приложениям, распространяемым через Google Play, категорически запрещено изменять, заменять или обновлять себя любыми способами, кроме официального механизма обновления, предоставляемого Google Play.
Кроме того, приложениям строго запрещено загружать исполняемый код (например, dex, JAR или .so files0 из внешних источников в официальный Android App Store).
Google также выделила конкретный вариант вредоносного ПО под названием SharkBot, впервые обнаруженный командой Cleafy по анализу угроз в октябре 2021 года и известный тем, что использует эту технику в дикой природе.
SharkBot - это банковское вредоносное ПО, которое совершает несанкционированные денежные переводы по протоколу службы автоматизированных переводов (ATS) после компрометации устройства Android.
Чтобы избежать обнаружения системами Play Store, злоумышленники, ответственные за SharkBot, приняли ставшую общепринятой стратегию выпуска версий с ограниченной функциональностью в Google Play, скрывая подозрительный характер своих приложений.
Однако, как только пользователь загружает троянское приложение, оно загружает полную версию вредоносного ПО.
Sharkbot был замаскирован под антивирусное программное обеспечение для Android и различные системные утилиты и успешно заразил тысячи пользователей с помощью приложений, которые прошли проверку Google Play Store на вредоносное поведение.
Репортер по кибербезопасности Брайан Кребс также рассказал об использовании другого метода обфускации мобильных вредоносных программ для той же цели, недавно представленного исследователями безопасности ThreatFabric.
Этот метод эффективно нарушает работу инструментов анализа приложений Google, не позволяя им сканировать вредоносные APK-файлы (пакеты приложений Android). В результате эти вредоносные APK-файлы могут успешно устанавливаться на устройства пользователей, несмотря на то, что они помечены как недействительные.
(c) https://www.bleepingcomputer.com/ne...android-malware-slips-onto-google-play-store/
