Специалисты по кибербезопасности компании «Доктор Веб» выявили новую масштабную кампанию по распространению вредоносного ПО семейства FakeApp через официальный магазин Google Play. Суммарное количество загрузок зараженных приложений превысило 2,16 миллиона, что указывает на серьезный масштаб угрозы.
Особенности работы трояна и механизмы маскировки
Основной функционал Android.FakeApp заключается в перенаправлении пользователей на нежелательные веб-ресурсы. При этом особый интерес представляет модификация Android.FakeApp.1669, использующая инновационный метод скрытой коммуникации через DNS-запросы для получения команд управления.
Техническая реализация DNS-коммуникации
Вредоносное ПО использует модифицированную версию библиотеки dnsjava для осуществления DNS-запросов к управляющим серверам. Примечательно, что троян активируется только при подключении через определенных провайдеров мобильного интернета, что затрудняет его обнаружение при анализе.
Механизм получения конфигурации
Процесс работы трояна включает несколько этапов шифрования и кодирования данных:
— Отправка DNS-запроса к серверу управления
— Получение зашифрованной TXT-записи
— Многоступенчатая расшифровка конфигурации
— Загрузка вредоносного контента через полученные URL
Маскировка под легитимные приложения
Злоумышленники распространяют троян под видом различных утилит и игр. Каждая версия вредоносного ПО имеет уникальную конфигурацию и привязку к определенным доменным именам, что позволяет операторам управлять различными версиями трояна независимо друг от друга.
Для защиты от подобных угроз рекомендуется устанавливать приложения только из проверенных источников, внимательно читать отзывы пользователей и регулярно обновлять антивирусное программное обеспечение. Также важно обращать внимание на запрашиваемые приложением разрешения и проявлять особую осторожность при предоставлении доступа к системным функциям устройства.
