Эксперты Cisco обнаружили новый опасный вирус на ОС Android‍

Вирус-многостаночник

Эксперты по кибербезопасности из группы Cisco Talos обнаружили новый опасный вирус, который получил название GPlayed. Он представляет собой троян, который маскируется под официальный магазин приложений «Play Market» — у него практически идентичная иконка, но он носит название «Google Play Marketplace».

Сообщается, что главная опасность этого вируса заключается в том, что он умеет адаптироваться после того, как попадает в систему смартфона на базе Android. Хакер, осуществивший атаку на устройство с помощью GPlayed, получает возможность удаленно загружать плагины и внедрить собственный код.

«Наш анализ показал, что этот троян пока находится в стадии тестирования, но учитывая его потенциал, каждый владелец смартфона должен знать о GPlayed», — заявили специалисты Cisco Talos.

В последнее время разработчики мобильных приложений стараются избегать официальных магазинов из-за бюрократической волокиты из-за требований со стороны площадки. Наличие таких вирусов, как GPlayed, наглядно показывает, чем может закончиться пренебрежение проверками, особенно в тех случаях, когда пользователь не умеет отличать безопасное приложение от хакерской подделки.

«Суть этого трояна и его воплощение находятся на нетипично высоком уровне, делая его опасной угрозой. В будущем такие угрозы станут появляться еще чаще, так как все больше компаний будут продвигать свое программное обеспечение напрямую потребителю», — сообщил представитель Cisco Talos.

Как сообщил «Газете.Ru» специалист отдела технического сопровождения продуктов ESET Russia Борис Соболев, после загрузки и установки троян пытается получить привилегии администратора и запрашивает доступ к настройкам. Далее он устанавливает связь с командным сервером и отправляет на него информацию о зараженном устройстве: IMEI, версия Android, модель телефона, мобильный номер и др.

Этот троян выполняет некоторые функции шпионского программного обеспечения, например, отслеживать геолокацию, перехватывать SMS-сообщения и список контактов.

Кроме того, хакер, управляющий вирусом, сможет с его помощью отправлять сообщения и USSD-команды, совершать звонки, заблокировать смартфон или поменять пароль на экране блокировки, а также получить данные о банковской карте, если они хранятся в устройстве.

Троян GPlayed выглядит очень настойчивым, запрашивает доступ к администрированию устройств и пока эти права не будут предоставлены, окно нельзя закрыть, рассказал руководитель отдела мобильных угроз и безопасности Avast Николаос Крисайдос.

«Гибридное вредоносное ПО, как в этом случае, всегда монетизируется за счет кражи личных данных с устройства. Банковские трояны маскируются с помощью поддельного пользовательского интерфейса поверх банковского приложения жертвы или показывают пользователям фальшивый экран оплаты, как это происходит в случае с GPlayed. Оба метода позволяют с легкостью обмануть пользователя, заставляя их думать, что он регистрируется в своем банковском приложении или платит доверенным провайдером, таким как Google, в то время как он на самом деле предоставляет свои учетные данные киберпреступникам», — пояснил Крисайдос.

Эксперт добавил, что российские пользователи с трудом определяют разницу между поддельным и настоящим интерфейсом банковского мобильного приложения. Так, согласно проведенному опросу, 24% респондентов определили официальный интерфейс приложения для мобильного банкинга как мошеннический, а 29% ошибочно приняли поддельный интерфейс за настоящий.

Невидимая угроза

В июле 2018 года эксперты сообщили о «невидимых» вирусах, которые владельцы смартфонов Android могут подхватить из официального магазина Google Play Store. Речь идет о так называемых дропперах — вредоносных программах, которые тайно заражают устройство другими вирусами, спрятанными в теле дроппера.

В последнее время дропперы получили широкое распространение, так как пользователи зачастую не знают, что в их смартфоне появился троян. Кроме того, подцепить дроппер может любой человек, скачивающий приложения из магазина Play Store.

В рамках борьбы с дропперами Google запустила сервис Play Protect, который постоянно сканирует приложения в официальном магазине приложений на предмет подозрительной активности.

Тем не менее, ИБ-эксперты сходятся во мнении, что эта мера не является достаточно эффективной, так как современные киберпреступники уделяют особое внимание тому, чтобы их не раскрыли.

Чтобы защититься от дроппера, эксперты советуют соблюдать три главные рекомендации — использовать современное антивирусное ПО, устанавливать приложения только с официального сайта разработчика или из официальных магазинов, а при загрузке ознакомиться с отзывами и репутацией приложения.