Рекомендуем почитать:
Аналитики компании ESET обнаружили, что спайварь, основанная на исходном коде AhMyth RAT, сумела дважды проникнуть в каталог приложений Google Play, невзирая на все проверки.
Вредоносное ПО маскировалось под приложения Radio Balouch и RB Music, которые действительно содержали легитимные компоненты для потокового радиовещания, но также включали в себя исходники опенсорсного RAT-инструмента AhMyth, чей код был опубликован на GitHub более двух лет назад.
Специалисты ESET пишут, что приложения с AhMyth на борту вообще не должны были попасть в Google Play. Учитывая возраст и доступность опенсорсной спайвари, команда безопасности Google должна была знать об этом и заметить вредоноса.
«Вредоносная функциональность в AhMyth не скрыта, не защищена и не обфусцирована. Поэтому определить приложение Radio Balouch и другие его производные как вредоносные и классифицировать их как принадлежащие к семейству AhMyth, это тривиальная задача, — пишет специалист ESET Лукас Стефанко (Lukáš Štefanko). — Никакие особенные уловки не использовались для обхода Google IP, не было и попыток отложить вредоносную функциональность. Полагаю, ее не обнаруживали сразу, так как сначала пользователям нужно было настроить приложение: установить язык, выдать разрешения, несколько раз нажать на кнопку “Далее”, и только после этого запускался вредоносный код».
Как было сказано выше, исследователь обнаружил в Google Play два вредоносных приложения, загруженные 2 и 13 июля 2019 года. До обнаружения они успели набрать немногим больше 100 установок, а в настоящее время уже были удалены из каталога.
Стефанко полагает, что повторное появление такой малвари в Google Play — это тревожный звонок как для команды безопасности Google, так и для пользователей Android. Так, если специалисты Google не улучшат работу защитных механизмов Google Play, в каталоге могут появиться новые клоны Radio Balouch или другие производные от AhMyth.
Читайте также
Последние новости