Android: Google наконец-то понял, как вредоносные программы проникают в Play Store

Компания Google заявила, что обнаружила, как хакеры обходят ее системы безопасности, чтобы наводнить Play Store вредоносными приложениями для Android. Судя по всему, злоумышленники используют проверенную двухэтапную тактику...

В прошлом году Google заблокировала 1,43 млн. Android-приложений, признанных вредоносными программами. Кроме того, гигант из Маунтин-Вью заблокировал 173 000 учетных записей "вредоносных разработчиков". Несмотря на все усилия Google, множеству вирусов все же удается обойти ее защиту и проникнуть в Play Store, спрятавшись в коде Android-приложений. Попадая в магазин, эти вредоносные приложения устанавливаются пользователями, которые оказываются во власти вредоносных программ, хакеров и киберпреступников.

В последнее время на платформе было замечено множество опасных программ. Среди них CherryBlos - похититель криптовалют, скрытый в 26 приложениях для Android в Play Store, и Anatsa - опасный вирус, предназначенный для опустошения банковских счетов своих жертв.

Стратегия атак хакеров на Play Store

В ежемесячном отчете по кибербезопасности компания Google сообщает, что ей удалось обнаружить, как хакеры обходят ее защиту, чтобы проникнуть в магазин Play Store. Среди приемов, используемых хакерами, - "версионирование". Эта стратегия, о которой уже упоминал Касперский, предполагает установку вредоносных функций приложения позднее, после того как оно уже было одобрено Google.

Если говорить конкретно, то сначала злоумышленники размещают в Play Store безобидное приложение. Признанное безобидным, это приложение попадает на платформу. Затем хакеры выкладывают обновление, которое преобразует код приложения, уже установленного на телефоне пользователя. После преобразования приложение внедряет на устройство вредоносное ПО.

"Разработчик публикует в Google Play Store первоначальную версию приложения, которая выглядит легитимной и проходит наши проверки, но затем получает обновление со стороннего сервера, которое модифицирует код на устройстве конечного пользователя", — поясняют в Google, зная о методах работы злоумышленников.

Тем не менее Google подвергает все обновления и исправления, выпускаемые разработчиками, строгому контролю. К сожалению, и здесь злоумышленники иногда находят способы обойти механизмы, созданные компанией. Иными словами, разработчики устанавливают обновление, не проходя через Play Store. Тогда обновление попадает непосредственно на смартфон, и не проверяется специалистами Google. Этот процесс называется "динамической загрузкой кода", то есть загрузкой файлов в приложение из недоверенного источника.

Бэкдоры в смартфонах на базе Android

С точки зрения Google, такие приложения, предназначенные для получения обновлений не по назначению, считаются "бэкдорами" в соответствии с политикой Play Store. Правила магазина формально запрещают создателям приложений распространять обновление, не опираясь на встроенную систему Play Store. На своем сайте Google уточняет, что все "методы, направленные на то, чтобы избежать проверки приложения, не разрешены".

В своем отчете Google указала на ряд вредоносных программ, использующих эту стратегию для проникновения на платформу. Прежде всего, компания приводит в пример Sharkbot - вирус, регулярно появляющийся на телефонах под управлением ОС Android. Эта вредоносная программа, предназначенная для кражи банковских данных пользователей, была обнаружена в прошлом году в коде пяти приложений. Она атаковала более 231 приложения, предлагающего финансовые услуги, такие как банки и криптовалютные платформы. Как всегда, мы рекомендуем сохранять бдительность при поиске приложений для установки на свой смартфон, даже если вы пользуетесь магазином Play Store.