Следующая новость
Предыдущая новость

В Google Play дважды проник вредонос, содержащий код опенсорсного шпионского ПО

23.08.2019 19:34
В Google Play дважды проник вредонос, содержащий код опенсорсного шпионского ПО

Рекомендуем почитать:

Xakep #244. Атаки по сторонним каналам

  • Содержание выпуска
  • Подписка на «Хакер»

Аналитики компании ESET обнаружили, что спайварь, основанная на исходном коде AhMyth RAT, сумела дважды проникнуть в каталог приложений Google Play, невзирая на все проверки.

Вредоносное ПО маскировалось под приложения Radio Balouch и RB Music, которые действительно содержали легитимные компоненты для потокового радиовещания, но также включали в себя исходники опенсорсного RAT-инструмента AhMyth, чей код был опубликован на GitHub более двух лет назад.

В Google Play дважды проник вредонос, содержащий код опенсорсного шпионского ПО В Google Play дважды проник вредонос, содержащий код опенсорсного шпионского ПО

Специалисты ESET пишут, что приложения с AhMyth на борту вообще не должны были попасть в Google Play. Учитывая возраст и доступность опенсорсной спайвари, команда безопасности Google должна была знать об этом и заметить вредоноса.

«Вредоносная функциональность в AhMyth не скрыта, не защищена и не обфусцирована. Поэтому определить приложение Radio Balouch и другие его производные как вредоносные и классифицировать их как принадлежащие к семейству AhMyth, это тривиальная задача, — пишет специалист ESET Лукас Стефанко (Lukáš Štefanko). — Никакие особенные уловки не использовались для обхода Google IP, не было и попыток отложить вредоносную функциональность. Полагаю, ее не обнаруживали сразу, так как сначала пользователям нужно было настроить приложение: установить язык, выдать разрешения, несколько раз нажать на кнопку “Далее”, и только после этого запускался вредоносный код».

Как было сказано выше, исследователь обнаружил в Google Play два вредоносных приложения, загруженные 2 и 13 июля 2019 года. До обнаружения они успели набрать немногим больше 100 установок, а в настоящее время уже были удалены из каталога.

Стефанко полагает, что повторное появление такой малвари в Google Play — это тревожный звонок как для команды безопасности Google, так и для пользователей Android. Так, если специалисты Google не улучшат работу защитных механизмов Google Play, в каталоге могут появиться новые клоны Radio Balouch или другие производные от AhMyth.

Источник

Последние новости