За последние несколько месяцев Bitdefender заметили общую тему: вредоносные приложения распространяются непосредственно из Google Play Store. Если что-то приходит из официального магазина, люди могут быть склонны считать, что это безопасно. Исследования показали, что это не так.
SharkBot Dropper
Всего несколько месяцев назад Bitdefender обнаружил в официальном магазине множество вредоносных приложений, навязывающих агрессивную нежелательную рекламу, которая могла привести к более серьезным атакам.
Благодаря нашей поведенческой технологии, разработанной для обнаружения подозрительного поведения программного обеспечения в режиме реального времени, мы обнаружили приложения, загруженные из Google Play, которые вскоре после установки, в зависимости от местонахождения пользователя, становились дропперами для баннеров SharkBot.
Магазин Google Play, скорее всего, обнаружит трояна-банкера, загруженного в его хранилище, поэтому преступники прибегают к более скрытым методам. Одним из способов является приложение, иногда легитимное с некоторыми рекламируемыми функциями, которое служит дроппером для более коварных вредоносных программ.
Обнаруженные Bitdefender приложения замаскированы под файловые менеджеры, что объясняет, почему они запрашивают у пользователя разрешение на установку внешних пакетов (REQUEST_INSTALL_PACKAGES). Разумеется, это разрешение используется для загрузки вредоносного ПО. Поскольку приложениям Google Play требуется функциональность файлового менеджера только для установки другого приложения, а вредоносное поведение активируется для ограниченного круга пользователей, их сложно обнаружить.
Хотя ни одно из приложений, рассматриваемых в данном исследовании, до сих пор не доступно в Google Play Store, они все еще присутствуют в Интернете в различных магазинах сторонних разработчиков, что делает их актуальной угрозой.
Большинство пользователей, загрузивших эти приложения, в основном из Великобритании и Италии, небольшое меньшинство - из других стран.
Приложение устанавливает образец SharkBot с ярлыком _File Manager, и пользователя обманывают, заставляя думать, что необходимо установить обновление приложения.
Профиль разработчика в Google Play, похоже, виден только пользователям из Италии и Великобритании. Зайти на его страницу без указания кода страны невозможно.
Многие пользователи утверждают, что приложение содержит вредоносное ПО, а цель преступников становится очевидной, поскольку все отрицательные отзывы о приложении написаны на итальянском языке.
При более детальном рассмотрении приложения X-File Manager Bitdefender обнаружили, что образец имеет множество разрешений, ожидаемых от файлового менеджера, включая READ_EXTERNAL_STORAGE, WRITE_EXTERNAL_STORAGE, GET_ACCOUNTS, REQUEST_INSTALL_PACKAGES, QUERY_ALL_PACKAGES, REQUEST_DELETE_PACKAGES.
После анализа кода исследователи обнаружили, что приложение выполняет проверку антиэмулятора и нацелено на пользователей из Великобритании и Италии, проверяя, соответствует ли SIM ISO IT или GB. Оно также проверяет, установлено ли на устройствах пользователей хотя бы одно из целевых банковских приложений.
Вот список приложений, отслеживаемых вредоносной программой, в который входят и другие финансовые сервисы. Стоит отметить, что это не фиксированный список, так как злоумышленники всегда могут добавить поддержку новых приложений.
com.barclays.android.barclaysmobilebanking | Barclays |
com.bankofireland.mobilebanking | Bank of Ireland Mobile Banking |
com.cooperativebank.bank | The Co-operative Bank |
ftb.ibank.android | AIB (NI) Mobile |
com.nearform.ptsb | permanent tsb |
uk.co.mbna.cardservices.android | MBNA Mobile App |
com.danskebank.mobilebank3.uk | Mobile Bank UK – Danske Bank |
com.barclays.bca | Barclaycard |
com.tescobank.mobile | Tesco Bank and Clubcard Pay+ |
com.virginmoney.uk.mobile.android | Virgin Money Mobile Banking |
com.cooperativebank.smile | "smile - the internet bank" |
com.starlingbank.android | Starling Bank - Mobile Banking |
uk.co.metrobankonline.mobile.android.production | Metro Bank |
uk.co.santander.santanderUK | Santander Mobile Banking |
uk.co.hsbc.hsbcukmobilebanking | HSBC UK Mobile Banking |
uk.co.tsb.newmobilebank | TSB Mobile Banking |
com.grppl.android.shell.BOS | Bank of Scotland Mobile App |
com.grppl.android.shell.halifax | Halifax Mobile Banking |
com.grppl.android.shell.CMBlloydsTSB73 | Lloyds Bank Mobile Banking |
it.copergmps.rt.pf.android.sp.bmps | Banca MPS |
it.extrabanca.mobile | NewExtraMobileBank |
it.relaxbanking | RelaxBanking Mobile |
it.bnl.apps.banking | BNL |
it.bnl.apps.enterprise.hellobank | Hello Bank! |
it.ingdirect.app | ING Italia |
it.popso.SCRIGNOapp | SCRIGNOapp |
posteitaliane.posteapp.appbpol | BancoPosta |
com.latuabancaperandroid | Intesa Sanpaolo Mobile |
com.latuabancaperandroid.pg | Intesa Sanpaolo Business |
com.latuabancaperandroid.ispb | Intesa Sanpaolo Private |
com.fineco.it | Fineco |
com.CredemMobile | Credem |
com.bmo.mobile | BMO Mobile Banking |
com.fideuram.alfabetobanking | Alfabeto Banking |
com.lynxspa.bancopopolare | YouApp - Mobile Banking |
com.vipera.chebanca | CheBanca! |
URL перенаправляет на IP-адрес: http://94[.]198[.]53[.]205/loader_08_2022_03e19619736ebb206d5dc24b6ca3a84f/
Приложение выполняет запрос по URI, скачивает пакет и записывает вредоносную полезную нагрузку на устройство. Дроппер имитирует обновление текущего приложения для завершения установки и просит пользователя установить сброшенный APK.
Indicators of Compromise
URLs
- http://94.198.53.205/loader_08_2022_03e19619736ebb206d5dc24b6ca3a84f/
SHA256
- 0fb6f45af7834c742db0c7b68a61d177c49bb4c59e19640c62723c6b38a777ad
- 218c6e2327c8342192dc58c6e793fc3d5cba7f15e4b2f188c98cd4ba48bf244a
- 25e2a148a586acc6b741a64f42c618796a08ec9745eb3d1170acabf9e732a366
- 5481908f7cf651fde7b902f70c5c6f900a413de5976e1e0ba2b60c44f2a060c4
- 5e858fa31abe3b048be815a96234daa1123a9aab113d6f80b95dbf9437fb7343
- 5ee5894c2be17c542601c113225862129ed96da6e6bd0d80c5ef0d500ad21fe3
- 618ee1e79a927c57831527faf19739276f2706b6200ee8f52aa0eb0c66de6828
- 6f1eb9c21b026eecfd65459ec4cffe3954d24619010741e18722108d7bacf3d1
- 72512e7de8099e66beb9b4395b8c4a5c1dfd413c85977a31480ff8bd68b2ca6e
- 844efceeeeff73da35ac13c217ad5723c456ecec01fada7f92b9203fc29e7dcd
- 900fe34d5394689c86ead76666e79620ad7a10109c75d661af9bc7d8fb0c27b8
- 9a8345bcbc06fc4225d7b03d0a8a4c04c3e7b2fafbf9e00e7ca57dd95034ae34
- b45edcbdfe9ad1a1990d723dca4405014a4fa1c578b75799219a4298b16175de
- e2d2e7683e07c5ffa7b5475433057cec5c2993167f47ea650941f9871923792d
- fa7947933a3561b7174f1d94472dcf8633a03749c14342ce65dafe94db361140