Злоумышленники распространяют вредоносное ПО под видом популярных Android-приложений

Распространять вредоносные программы на Android-устройствах непросто, так как официальный магазин обычно (но не всегда) может помешать этим типам приложений добраться до пользователей. Но одной из самых сильных сторон Android является возможность загрузки приложений из неофициальных источников.

Используя комбинацию трюков, чтобы убедить пользователей устанавливать приложения из альтернативных источников, преступники распространяют большую часть своих вредоносных программ через сторонние загрузки. Если на мобильных устройствах не установлен защитный софт, вредоносные приложения беспрепятственно запускаются.

TeaBot и Flubot - новейшие семьи банкиров-троянцев, в первые месяцы 2021 года их идентифицировали многочисленные исследователи безопасности. Исследователи Bitdefender обнаружили партию новых вредоносных Android-приложений, которые выдают себя за настоящие от популярных брендов, но с вредоносной нагрузкой.

TeaBot снова наносит удар

Известны TeaBot («Anatsa») и его рабочие механизмы. Согласно раннему отчету об анализе, вредоносная программа может осуществлять скрытые атаки через Android Accessibility Services, перехватывать сообщения, выполнять различные действия по кейлогингу, красть коды Google Authentication и даже брать на себя полное удаленное управление Android-устройствами.

Преступники используют следующий доступный метод распространения - имитацию топовых приложений в надежде обмануть хотя бы некоторых пользователей при загрузке и установке их вредоносных версий.

Исследователи Bitdefender выявили пять новых вредоносных Android- приложения, которые упаковывают банковский троян Teabot и выдают себя за реальных. Два приложения упоминаются как банковское вредоносное ПО в Twitter, и мы установили связь с вредоносным ПО Anatsa.

Фальшивые приложения, содержащие полезную нагрузку Teabot, основаны на популярных приложениях, размещенных в Google Play, некоторые из которых имееют свыше 50 миллионов загрузок. Неудивительно, что преступники пытаются воспользоваться их популярностью. Разработчики официальных приложений в этом не виноваты.

Начало этой кампании распространения поддельных вредоносных Android-приложений датируется началом декабря 2020 года, раньше, чем было выявлено ранее. Это также было указано в твите, когда была опубликована оригинальная статья.

Кампания по распространению этих приложений в сети остается активной. Bitdefender выявил странный метод распространения с злоумышленниками с помощью поддельного приложения Ad Blocker, которое выступает в качестве друппера для малвари. Это всего лишь один новый метод распространения. Мы подозреваем, что другие пути также используются, но пока они остаются неизвестными.

Мы составили список всех банков, на которые ориентировался Teabot, но есть оговорка: его операторы могут адаптировать его в любое время, добавлять больше банков или удалять поддержку для некоторых. Список действителен прямо сейчас, но он, скорее всего, изменится в будущем.
App name App package name
Bankia Wallet com.bankia.wallet
BankinterMóvil com.bankinter.launcher
BBVA Spain | Online banking com.bbva.bbvacontigo
BBVA Net Cash | ES & PT com.bbva.netcash
Kutxabank com.kutxabank.android
Santander es.bancosantander.apps
Bankia es.cm.android
CaixaBankNow es.lacaixa.mobile.android.newwapicon
Banca Digital Liberbank es.liberbank.cajasturapp
Openbank – bancamóvil es.openbank.mobile
UnicajaMovil es.univia.unicajamovil
BBVA México (BancomerMóvil) com.bancomer.mbanking
Banco Sabadell App. Your mobile bank net.inverline.bancosabadell.officelocator.android
Commerzbank Banking – The app at your side de.commerzbanking.mobil
comdirect mobile App de.comdirect.android
SparkasseIhre mobile Filiale com.starfinanz.smob.android.sfinanzstatus
Deutsche Bank Mobile com.db.pwcc.dbmobile
Banco Sabadell App. Your mobile bank net.inverline.bancosabadell.officelocator.android
VR Banking Classic de.fiducia.smartphone.android.banking.vr
Cajasur com.cajasur.android
GrupoCajamar com.grupocajamar.wefferent
BW-Mobilbankingmit Smartphone und Tablet com.starfinanz.smob.android.bwmobilbanking
Ibercaja es.ibercaja.ibercajaapp
ING España. Banca Móvil www.ingdirect.nativeframe

Из телеметрии Bitdefender мы смогли идентифицировать два новых вектора заражения, а именно приложения с именами пакетов «com.intensive.sound» и «com.anaconda.brave», которые загружают Teabot. Это приложения для удаления вредоносных программ, известные как имитирующие законные приложения (например, Ad Blocker в нашем случае).

Поддельные приложения для блокировки рекламы не имеют функциональности оригинальной версии. Они просят разрешения отображать другие приложения, показывать уведомления и устанавливать приложения вне Google Play, после чего скрывают значок.

Это не оригинальное решение; предложение загрузки вредоносных программ как услуги является довольно распространенной практикой в подпольной индустрии вредоносных программ.
/Android/data/com.intensive.sound/files/Download/MediaPlayer.apk
/Android/data/com.anaconda.brave/files/Download/MediaPlayer.apk
Мы обнаруживаем эти приложения с помощью Bitdefender Mobile Security как Android.Trojan.HiddenApp.AID.

Это текущий дистрибутив, в котором приложение с именем MediaPlayer управляет ландшафтом. Но это не единственный. Как выясняется, MediaPlayer.apk на самом деле пытается выдать себя за одного из самых известных мультимедийных плееров в Google Play Store, названного VLC. Исследователи безопасности из Cleafy первыми идентифицировали вредоносное ПО, олицетворяющее приложение VLC.

FluBot не отстает

Flubot (также известный как Cabassous) - другое быстро набирающее популярность семейство банковских троянов. Тепловая карта показывает, что это семейство банковских троянов было более успешным в распространении на международном уровне, преимущественно в Германии, Испании, Италии и Великобритании.

В отличие от Teabot, который иногда загружается приложением, представляющимся блокировщиком рекламы, операторы Flubot проводят гораздо более прямую кампанию, используя спам-SMS в качестве средства доставки.

В то время как его вредоносная функциональность не так сложна, как у Teabot (которая благодаря регистрации доступности позволяет субъектам угроз отслеживать устройство в режиме реального времени), FluBot по-прежнему является банковским трояном. Он крадет банковские, контактные, SMS и другие типы частных данных с зараженных устройств, и имеет арсенал других доступных команд, включая возможность отправлять SMS с контентом, предоставляемым CnC.

Flubot использует эту команду для распространения через SMS спама и червеподобное поведение. В нашем анализе мы наблюдали более 100 различных доменов, используемых в кампании для размещения поддельных файлов APK. Эти домены принадлежат взломанным/угнанным сайтам, где злоумышленники заливали свои вредоносные программы для дальнейшего распространения. Во многих случаях это законные веб-сайты и домены, которые преступники успешно атаковали через существующие уязвимости, размещая ссылки для загрузки вредоносных программ.


Источник: https://labs.bitdefender.com/2021/0...-spread-teabot-and-flubot-malware-on-android/

 

Ну и вообще это старая практика. Раньше даже похардовей было.