Как маскируются вредоносные приложения для Android

Исследователи говорят, что поставщики мобильного вредоносного ПО злоупотребляют ошибкой в платформе Google Android, которая позволяет им проникать вредоносным кодом в безобидные мобильные приложения и уклоняться от инструментов сканирования безопасности. Google заявляет, что обновил свои механизмы обнаружения вредоносных программ в ответ на новое исследование.

Речь идет о методе обфускации мобильного вредоносного ПО, идентифицированном исследователями из ThreatFabric, охранной фирмы, базирующейся в Амстердаме. Александр Еремин, старший аналитик по вредоносным программам в компании, рассказал KrebsOnSecurity, что недавно они столкнулись с рядом мобильных банковских троянов, злоупотребляющих ошибкой, присутствующей во всех версиях ОС Android, которая включает в себя повреждение компонентов приложения, так что его новые вредоносные биты будут игнорироваться как недействительные популярными инструментами сканирования безопасности мобильных устройств, в то время как приложение в целом принимается как действительное ОС Android и успешно устанавливается.

«Существует вредоносное ПО, которое исправляет файл.apk [установочный файл приложения], так что платформа по-прежнему рассматривает его как действительный и выполняет все вредоносные действия, для которых она предназначена, в то же время многие инструменты, предназначенные для распаковки и декомпиляции этих приложений, не могут обработать код», — пояснил Еремин.

Еремин сказал, что ThreatFabric уже несколько раз использовала этот метод обфускации вредоносных программ в прошлом, но в апреле 2023 года она начала находить гораздо больше вариантов известных семейств мобильных вредоносных программ, использующих его для скрытности. С тех пор компания объяснила этот рост полуавтоматическим предложением вредоносного ПО как услуги в киберпреступном подполье, которое будет запутывать или «шифровать» вредоносные мобильные приложения за определенную плату.

Еремин сказал, что Google отметил их первоначальный отчет от 9 мая 2023 года как «высокий» уровень серьезности. Совсем недавно Google наградил их наградой в размере 5 долларов за ошибку, хотя технически он не классифицировал их находку как уязвимость безопасности.

«Это была уникальная ситуация, в которой обнаруженная проблема не была классифицирована как уязвимость и не повлияла на проект Android с открытым исходным кодом (AOSP), но привела к обновлению наших механизмов обнаружения вредоносных программ для приложений, которые могут попытаться злоупотребить этой проблемой», — говорится в письменном заявлении Google.

Google также признал, что некоторые из инструментов, которые он предоставляет разработчикам, в том числе APK Analyzer, в настоящее время не могут анализировать такие вредоносные приложения и рассматривать их как недействительные, в то же время позволяя устанавливать их на пользовательские устройства.

«Мы изучаем возможные исправления для инструментов разработчика и планируем соответствующим образом обновить нашу документацию», — говорится в заявлении Google.

Согласно ThreatFabric, есть несколько явных признаков, которые могут искать анализаторы приложений, которые могут указывать на то, что вредоносное приложение злоупотребляет уязвимостью, чтобы замаскироваться под доброкачественную. Во-первых, они обнаружили, что приложения, модифицированные таким образом, имеют файлы манифеста Android, которые содержат более новые метки времени, чем остальные файлы в программном пакете.

Что еще более важно, сам файл манифеста будет изменен таким образом, чтобы количество «строк» — обычного текста в коде, такого как комментарии, — указанного в приложении, соответствовало фактическому количеству строк в программном обеспечении.

Одно из семейств мобильных вредоносных программ, которое, как известно, злоупотребляет этим методом обфускации, получило название Anatsa, которое представляет собой сложный банковский троян на базе Android, который обычно маскируется под безобидное приложение для управления файлами. В прошлом месяце ThreatFabric подробно рассказала о том, как мошенники, стоящие за Anatsa, будут покупать старые, заброшенные приложения для управления файлами или создавать свои собственные и позволять приложениям создавать значительную пользовательскую базу, прежде чем обновлять их вредоносными компонентами.

ThreatFabric утверждает, что Anatsa выдает себя за программы просмотра PDF-файлов и другие приложения для управления файлами, поскольку эти типы приложений уже имеют расширенные разрешения на удаление или изменение других файлов на хост-устройстве. По оценкам компании, люди, стоящие за Anatsa, установили более 30 000 своих банковских троянов с помощью текущих кампаний по вредоносному ПО в Google Play Store.

В последние месяцы Google подвергся критике за то, что не смог более активно контролировать свой Play Store на наличие вредоносных приложений или некогда законных приложений, которые позже становятся мошенническими. В этой истории от Ars Technica за май 2023 года о ранее безобидном приложении для записи экрана, которое стало вредоносным после того, как собрало 50 000 пользователей, отмечается, что Google не комментирует, когда на его платформе обнаруживается вредоносное ПО, кроме того, что благодарит внешних исследователей, которые его нашли, и говорит, что компания удаляет вредоносное ПО, как только узнает о нем.

«Компания никогда не объясняла, что заставляет ее собственных исследователей и автоматизированный процесс сканирования пропускать вредоносные приложения, обнаруженные посторонними», — написал Дэн Гудин из Ars. «Google также неохотно активно уведомляет пользователей Play, как только узнает, что они были заражены приложениями, продвигаемыми и предоставляемыми его собственным сервисом».

В статье Ars упоминается одно потенциально положительное изменение со стороны Google в последнее время: превентивная мера, доступная в Android версии 11 и выше, которая реализует «спящий режим приложений», который переводит приложения, которые были бездействующими, в состояние гибернации, которое удаляет их ранее предоставленные разрешения на выполнение.

ИСТОЧНИК: https://krebsonsecurity.com/2023/08/how-malicious-android-apps-slip-into-disguise/