Исследование компании Zscaler выявило критическую угрозу для пользователей Android-устройств: 77 вредоносных приложений с общим количеством загрузок свыше 19 миллионов успешно проникли в официальный магазин Google Play. Данное открытие демонстрирует серьезные пробелы в системе безопасности крупнейшей платформы для мобильных приложений.
Динамика угроз: рост рекламной малвари и активность Joker
Анализ экспертов по кибербезопасности показал значительные изменения в ландшафте мобильных угроз. Специалисты зафиксировали резкий рост числа вредоносных рекламных приложений, одновременно с увеличением активности таких опасных семейств малвари, как Joker, Harly и банковский троян Anatsa.
Статистика распределения угроз демонстрирует тревожную картину: более 66% обнаруженных приложений содержали рекламную малварь, в то время как троян Joker был обнаружен почти в 25% проанализированных программ. Одновременно эксперты отметили снижение активности ранее популярных семейств вредоносного ПО, таких как Facestealer и Coper.
Функциональность трояна Joker и его опасность
Троян Joker представляет собой многофункциональную угрозу с широким спектром вредоносных возможностей. После успешной установки на устройство жертвы, данная малварь получает доступ к критически важным функциям смартфона:
• Чтение и отправка SMS-сообщений
• Создание скриншотов экрана
• Совершение телефонных звонков
• Кража списков контактов
• Получение информации об устройстве
• Несанкционированная подписка на премиум-сервисы
Эволюция маскировки: феномен «maskware»
Исследователи выделили особую категорию угроз, получившую название «maskware». Эти приложения представляют собой изощренную форму маскировки, при которой вредоносная программа полностью имитирует заявленную функциональность, одновременно выполняя скрытую вредоносную активность в фоновом режиме.
Такие приложения способны незаметно для пользователя похищать учетные данные, банковскую информацию, данные геолокации и SMS-сообщения. Особую опасность представляет вариант Joker под названием Harly, который маскируется под популярные категории приложений: игры, программы для обоев, фонарики и фоторедакторы.
Банковский троян Anatsa: расширение географии атак
Последняя версия банковского трояна Anatsa продемонстрировала значительное расширение своих возможностей. Количество целевых банковских и криптовалютных приложений увеличилось с 650 до 831, что свидетельствует о постоянном развитии угрозы.
Особенностью новой кампании стало расширение географии атак: теперь под угрозой находятся пользователи из Германии и Южной Кореи. Злоумышленники используют приложение «Document Reader – File Manager» в качестве приманки, которое загружает основную вредоносную нагрузку только после установки, что позволяет обходить автоматические проверки Google.
Современные методы обхода защиты
Операторы малвари продемонстрировали высокий уровень технической подготовки, внедрив несколько инновационных методов обхода систем безопасности:
• Переход от удаленной динамической загрузки DEX-кода к прямой установке малвари
• Распаковка вредоносного кода из JSON-файлов с последующим их удалением
• Использование поврежденных APK-архивов для обхода статического анализа
• DES-шифрование строк во время выполнения
• Обнаружение эмуляции и песочниц
• Периодическое изменение имен пакетов и хешей
Оперативная реакция Google привела к удалению всех обнаруженных вредоносных приложений из официального магазина. Однако данный инцидент подчеркивает необходимость повышенной бдительности пользователей при установке приложений и важность использования дополнительных средств защиты на мобильных устройствах. Рекомендуется регулярно проверять установленные приложения на наличие подозрительной активности и использовать надежные антивирусные решения.
