Аналитики компании ESET обнаружили, что в магазин приложений Google Play дважды проникало вредоносное шпионское программное обеспечение.

Согласно сообщению, ПО проникало в Google Play, несмотря на проверки.

Оно было создано на основе шпионского инструмента AhMyth с открытым кодом, который был опубликован в 2017 году.

Программа-шпион маскировалась под приложения Radio Balouch и RB Music (предназначены для прослушивания музыки в онлайн-режиме). Последние содержали как легитимные компоненты для потокового радиовещания, так и исходный код RAT-инструмента AhMyth.

Вредоносное ПО могло тайно похищать данные, которые хранятся на зараженном устройстве жертвы, а также отправлять с него SMS-сообщения.

Radio Balouch является первым шпионским приложением, которое попало в официальный магазин приложений для Android. Программа-шпион была удалена с Google Play после обнаружения 2 июля 2019 года, но спустя некоторое время снова появилась в магазине. В каждом случае это ПО было установлено пользователями более 100 раз.

гугл1

Фото: welivesecurity.com

Специалисты ESET подчеркивают, что приложения на основе AhMyth вообще не должны были попасть в Google Play: команда безопасности Google должна была заранее их обнаружить.

“Вредоносная функциональность в AhMyth не скрыта, не защищена. Поэтому определить приложение Radio Balouch и другие его производные как вредоносные и классифицировать их как принадлежащие к семейству AhMyth, это тривиальная задача. Никакие особенные уловки не использовались для обхода Google IP, не было и попыток отложить вредоносную функциональность. Полагаю, ее не обнаружили сразу, так как сначала пользователям нужно было настроить приложение: установить язык, выдать разрешения, несколько раз нажать на кнопку “Далее”, и только после этого запускался вредоносный код”, – отметил специалист ESET Лукас Стефанко.

По его словам, повторное появление вредоносного ПО в Google Play “должно послужить сигналом тревоги как для группы безопасности Google, так и для пользователей Android”.

Как подчеркивают в ESET, если специалисты компании не улучшат работу защитных механизмов в Google Play, в каталог могут проникнуть новые клоны Radio Balouch или другие подобные шпионские приложения.

гугл2

гугл3

гугл4

Фото: welivesecurity.com

  • Ранее сообщалось, что российские хакеры загружают в Интернет-магазины фейковые приложения, которые могут шпионить за владельцами смартфонов.