Как хакеры заставили Android-приложение украсть пароли, которые скачали 300 000 раз

Фирма по кибербезопасности ThreatFabric оглядывается на масштабную кампанию вредоносных приложений, в том числе вредоносных программ, которые крадут пароли и другие личные данные.

Отчет компании ThreatFabric, занимающейся кибербезопасностью, показал, что более 300 000 пользователей Android установили вредоносные приложения для кражи своей банковской информации. В то время как вредоносные приложения были удалены и отключены Google, разработчики использовали уникальные методы для распространения вредоносных программ среди пользователей, о которых все должны знать.

Хакеры использовали несколько типов вредоносных программ.

В отчете ThreatFabric упоминается лишь небольшое количество таких вредоносных приложений, но в список входят сканеры QR-кода, сканеры PDF, приложения для отслеживания упражнений и приложения для криптографии. В отличие от других вредоносных приложений, ложно рекламирующих свои функциональные возможности, большинство интересующих нас сегодня приложений работают идеально, как заявлено. На самом деле все происходило в фоновом режиме, приложения воровали пароли и много других важных личных данных.

Исследователи разделили приложения на четыре основных «семейства» в зависимости от используемого ими вредоносного ПО:

• Anatsa: крупнейшее из четырех семейств с более чем 200 000 загрузок использовало банковский троян Anatsa. При этом используются скриншоты специальных возможностей Android для кражи имен пользователей, паролей и других личных данных.
• Alien: второе по количеству скачиваний семейство приложений было Alien, в котором установлено более 95 000 устройств. Alien перехватывает коды двухфакторной аутентификации, которые затем используются хакерами для входа в банковский счет пользователя.
• Гидра и Ермак: Последние две семьи — это семьи Гидра и Ермак, которые связаны с киберпреступной группировкой Брунгильда. Группа использовала вредоносное ПО для удаленного доступа к устройству пользователя и получения его банковской информации. В отчете ThreatFabric говорится, что у Hydra и Ermac более 15 000 загрузок.

Как эти семейства вредоносных программ могут пройти через меры безопасности Google

ThreatFabric сообщил об этих приложениях в Google, который незамедлительно удалил их из своего Play Store и отключил на устройствах, на которых они были установлены. Но настоящей проблемой остается то, как хакерам удалось скрыть вредоносное ПО в приложениях.

Обычно Play Store перехватывает и удаляет приложения, содержащие вредоносный код. Однако в интересующих нас сегодня случаях вредоносное ПО не было включено в первоначальные загрузки, а добавлялось через обновление, которое пользователи должны были установить, чтобы продолжить использование приложений. С помощью этого метода разработчики могут отправлять свои приложения, не запуская системы обнаружения Google. А поскольку эти приложения работали безотказно, как и утверждалось, пользователи вряд ли могли что-то заподозрить. Тем не менее, было несколько признаков обновлений,

Как защитить Android-устройство от вредоносных программ

Есть ряд вещей, которые вы можете сделать, если хотите защитить свое устройство и избежать установки на него таких вредоносных программ. Прежде всего, обратите пристальное внимание на то, какие разрешения запрашивает приложение — не только при первой установке, но и при каждом запуске или обновлении. Удалите приложение и сообщите об этом, если оно запрашивает что-то подозрительное или ненужное. Например, нет причин, по которым приложение для сканирования QR-кода должно получать доступ к вашим службам специальных возможностей.

Точно так же устанавливайте обновления только напрямую из магазина Google Play. Если приложение сообщает, что ему требуется флэш-обновление, но оно недоступно в Play Маркете, возможно, это обновление является незаконным. То же самое касается запросов на загрузку чего-либо за пределами Play Store. Безопасно загружать и устанавливать приложение таким образом, только если вы сами загружаете APK-файл из надежного источника, такого как APK Mirror или форум XDA Dev. И не забудьте проверить приложение перед его загрузкой, даже если оно находится в Google Play, так как хакеры могут подорвать легитимность приложения фальшивыми комментариями.

Хотя эти различные привычки могут не полностью защитить вас от потенциальных вредоносных программ, если они сочетаются с другими методами кибербезопасности, такими как одноразовые пароли, безопасный зашифрованный менеджер паролей, двухфакторная аутентификация и приложения. Безопасный антивирус и антивирус, вы будете хорошо защищены от хакеров и их вредоносных приложений.