Компания Google до сих пор не удалила два приложения, содержащие вредоносный функционал. В настоящее время они все еще доступны для загрузки через официальный сервис Google Play.
Приложения называются «Earn Real Money Gift Cards» (программа для получения подарочных карт, устанавливающее другие приложения на вашем телефоне) и «Bubble Shooter Wild Life» (мобильная игра). Обе программы были разработаны и недавно загружены в Google Play одним и тем же разработчиком под именем Boris Block.
Приложения были впервые обнаружены исследователями безопасности
«Earn Real Money Gift Cards» содержит троян для мобильного банкинга BankBot. Он впервые появился в Сети в декабре прошлого года и уже использовался несколькими разработчиками вредоносного ПО. Троян стал известен именно своей способностью обходить проверки безопасности Google и проникать в Google Play. По словам Ченгиз Хан Сахина (Cengiz Han Sahin), соучредителя SfyLabs, это уже седьмой случай проникновения BankBot в официальный магазин Google Play.
«Bubble Shooter Wild Life» содержит дроппер. В данном случае исследователи отмечают, что этот образец вредоносного ПО уникален. В частности, их внимание привлекло то, как именно это приложение злоупотребляет функциями специальных возможностей Android.
До сих пор данное вредоносное ПО использовало функцию специальных возможностей для имитации пользовательских нажатий и предоставления доступа к административной учетной записи для контроля над телефоном пользователя.
Одним из последних громких случаев, связанных с вредоносами, злоупотребляющими данной функцией, было появление трояна Svpeng, который был выставлен на продажу на подпольном хакерском форуме.
«Bubble Shooter Wild Life» примечательно тем, как именно вредоносное ПО использует функцию «Сканер доступности», для включения параметра «Установка из неизвестных источников» и установить другое приложение.
Для обхода песочницы Google обе программы ждут 20 минут прежде чем совершать какие-либо вредоносные действия. К этому времени Google уже завершит проверку безопасности, одобрит приложение, и разместит его в Google Play.
На момент написания этой статьи оба приложения все еще доступны в Google Play.
Более 500 приложений в Google Play содержали бэкдор
Набор средств для разработки рекламы (SDK) от китайской фирмы Igexin был обнаружен более чем в 500 приложениях, загруженых из официального магазина Google Play. Приложения были скачаны более 100 миллионов раз устройствами Android.
Исследователи из компании Lookout обратили внимание на особенность зараженных вредоносным ПО смартфонов. На всех устройствах были установлены приложения различных производителей, содержащие SDK от Igexin. Более детальное изучение проблемы позволило выявить несанкционированные запросы к API на серверы Igexin. Вредоносный функционал, содержащийся в SDK, позволял злоумышленникам собирать все данные с устройств пользователей, а также принудительно загружал и выполнял код, содержащийся в больших зашифрованных файлах.
Исследователи уведомили Google и разработчиков легальных приложений, использующих вредоносный SDK. Google отключила скомпрометированные версии приложений, пока разработчикам приложений не удалось опубликовать обновления.
Приложения называются «Earn Real Money Gift Cards» (программа для получения подарочных карт, устанавливающее другие приложения на вашем телефоне) и «Bubble Shooter Wild Life» (мобильная игра). Обе программы были разработаны и недавно загружены в Google Play одним и тем же разработчиком под именем Boris Block.
Приложения были впервые обнаружены исследователями безопасности
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, а затем и командой Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
. Обе компании заявили, что они уведомили Google.«Earn Real Money Gift Cards» содержит троян для мобильного банкинга BankBot. Он впервые появился в Сети в декабре прошлого года и уже использовался несколькими разработчиками вредоносного ПО. Троян стал известен именно своей способностью обходить проверки безопасности Google и проникать в Google Play. По словам Ченгиз Хан Сахина (Cengiz Han Sahin), соучредителя SfyLabs, это уже седьмой случай проникновения BankBot в официальный магазин Google Play.
«Bubble Shooter Wild Life» содержит дроппер. В данном случае исследователи отмечают, что этот образец вредоносного ПО уникален. В частности, их внимание привлекло то, как именно это приложение злоупотребляет функциями специальных возможностей Android.
До сих пор данное вредоносное ПО использовало функцию специальных возможностей для имитации пользовательских нажатий и предоставления доступа к административной учетной записи для контроля над телефоном пользователя.
Одним из последних громких случаев, связанных с вредоносами, злоупотребляющими данной функцией, было появление трояна Svpeng, который был выставлен на продажу на подпольном хакерском форуме.
«Bubble Shooter Wild Life» примечательно тем, как именно вредоносное ПО использует функцию «Сканер доступности», для включения параметра «Установка из неизвестных источников» и установить другое приложение.
Для обхода песочницы Google обе программы ждут 20 минут прежде чем совершать какие-либо вредоносные действия. К этому времени Google уже завершит проверку безопасности, одобрит приложение, и разместит его в Google Play.
На момент написания этой статьи оба приложения все еще доступны в Google Play.
Более 500 приложений в Google Play содержали бэкдор
Набор средств для разработки рекламы (SDK) от китайской фирмы Igexin был обнаружен более чем в 500 приложениях, загруженых из официального магазина Google Play. Приложения были скачаны более 100 миллионов раз устройствами Android.
Исследователи из компании Lookout обратили внимание на особенность зараженных вредоносным ПО смартфонов. На всех устройствах были установлены приложения различных производителей, содержащие SDK от Igexin. Более детальное изучение проблемы позволило выявить несанкционированные запросы к API на серверы Igexin. Вредоносный функционал, содержащийся в SDK, позволял злоумышленникам собирать все данные с устройств пользователей, а также принудительно загружал и выполнял код, содержащийся в больших зашифрованных файлах.
Исследователи уведомили Google и разработчиков легальных приложений, использующих вредоносный SDK. Google отключила скомпрометированные версии приложений, пока разработчикам приложений не удалось опубликовать обновления.