Експерти з кібербезпеки компанії Zscaler виявили серйозну загрозу для екосистemi Android: 77 шкідливих додатків з загальною кількістю завантажень понад 19 мільйонів змогли обійти системи захисту Google Play Store. Це відкриття підкреслює вразливості в механізмах безпеки найбільшого магазину мобільних додатків у світі.
Трансформація ландшафту мобільних загроз
Останній аналіз демонструє кардинальні зміни в структурі мобільних кіберзагроз. Фахівці зафіксували стрімке зростання рекламної малварі поряд з активізацією небезпечних сімейств шкідливого програмного забезпечення, включаючи Joker, Harly та банківський троян Anatsa.
Розподіл виявлених загроз викликає серйозне занепокоєння: понад 66% досліджених додатків містили рекламне шкідливе ПЗ, тоді як троян Joker був виявлений майже в 25% проаналізованих програм. Водночас спостерігається зниження активності раніше домінуючих загроз, таких як Facestealer та Coper.
Багатофункціональність трояна Joker: аналіз можливостей
Троян Joker являє собою комплексну загрозу з широким арсеналом шкідливих функцій. Після проникнення на пристрій жертви цей малварь отримує контроль над критично важливими системними можливостями:
• Перехоплення та відправлення SMS-повідомлень
• Створення знімків екрана без відома користувача
• Здійснення дзвінків на платні номери
• Викрадення контактної інформації
• Збір технічних даних про пристрій
• Автоматичне оформлення підписок на преміум-сервіси
Феномен “maskware”: нова еволюція маскування
Дослідники ідентифікували інноваційну категорію загроз під назвою “maskware”. Ці додатки демонструють досконале мистецтво маскування, повністю відтворюючи заявлену функціональність при одночасному виконанні прихованої шкідливої діяльності.
Такі програми здатні непомітно викрадати автентифікаційні дані, банківську інформацію, геолокаційні відомості та приватні повідомлення. Особливу небезпеку становить варіант Joker під назвою Harly, який маскується під популярні категорії: ігрові додатки, програми для шпалер, ліхтарики та фоторедактори.
Банківський троян Anatsa: розширення цільової аудиторії
Остання модифікація банківського трояна Anatsa продемонструвала значне нарощування потенціалу. Кількість цільових банківських та криптовалютних додатків зросла з 650 до 831, що свідчить про постійну еволюцію загрози.
Ключовою особливістю нової кампанії стало географічне розширення: тепер під ударом опинилися користувачі з Німеччини та Південної Кореї. Кіберзлочинці використовують додаток “Document Reader – File Manager” як приманку, який завантажує основне шкідливе навантаження лише після встановлення, успішно обходячи автоматизовані перевірки Google.
Інноваційні техніки обходу систем захисту
Розробники малварі продемонстрували високий рівень технічної майстерності, впровадивши декілька передових методів обходу захисних механізмів:
• Перехід від віддаленого динамічного завантаження DEX-коду до прямої інтеграції
• Розпакування шкідливого коду з JSON-файлів з подальшим видаленням
• Використання пошкоджених APK-архівів для обходу статичного аналізу
• DES-шифрування рядків під час виконання
• Детекція емуляторів та пісочниць
• Регулярна зміна імен пакетів та хешів
Контрзаходи та рекомендації
Google оперативно відреагував на виявлені загрози, видаливши всі шкідливі додатки з офіційного магазину. Проте цей інцидент демонструє критичну важливість проактивного підходу до мобільної безпеки.
Для захисту від подібних загроз рекомендується ретельно аналізувати дозволи додатків перед встановленням, використовувати репутаційні антивірусні рішення та регулярно аудитувати встановлені програми на предмет підозрілої активності. Особливу увагу слід приділити додаткам з обмеженою кількістю відгуків або від невідомих розробників.
