11 млн. Android устройства са засегнати от нова хакерска атака

Преди пет години учени откриха легитимно приложение за Android в Google Play, което тайно беше превърнато в злонамерен софтуер от библиотека, използвана от разработчиците за получаване на приходи от реклама. По този начин приложението е било заразено с код, който е накарал 100 млн. заразени устройства да се свържат с контролирани от нападателите сървъри и да изтеглят код.

Сега историята се повтаря. Изследователи от Kaspersky съобщиха, че са открили две нови приложения, с над 11 млн. изтегляния от Google Play, които са били заразени със същото семейство зловреден софтуер. Учените смятат, че за това отново е отговорен зловреден комплект за разработчици на софтуер за интегриране на рекламни възможности.

Комплектите за разработчици на софтуер, по-известни като SDK, са приложения, които предоставят на разработчиците рамки, които могат значително да ускорят процеса на създаване на приложения чрез рационализиране на повтарящи се задачи. Непроверен SDK модул, включен в приложенията, привидно поддържа показването на реклами. Зад кулисите той предоставя множество усъвършенствани методи за скрита комуникация със злонамерени сървъри.

Семейството скрити зловредни програми в двете кампании е известно като Necro. След като устройствата биват заразени, те се свързват с контролиран от хакерите сървър за управление и контрол и изпращат уеб заявки, съдържащи криптирани JSON данни, които съобщават информация за всяко компрометирано устройство и приложение, хостващо модула.

SDK модулът използва много прост стеганографски алгоритъм, обясняват учените на Kaspersky в отделна публикация. Последващите полезни товари, които се инсталират, изтеглят злонамерени плъгини, които могат да се смесват и съчетават за всяко заразено устройство, за да извършват различни действия.

Един от плъгините позволява на кода да се изпълнява с повишени системни права. Тази приставка може също така да изтегля и стартира други изпълними файлове, които ще заменят връзките, визуализирани чрез WebView. Когато се стартират с повишени системни права, тези изпълними файлове имат възможност да променят URL адреси, за да добавят кодове за потвърждение на платени абонаменти и да изтеглят и изпълняват код, зареден във връзки, контролирани от нападателя. Изследователите изброяват пет отделни полезни товара, на които са се натъкнали при анализа на Necro.

Модулният дизайн на Necro разкрива много начини за поведение на зловредния софтуер. Изследователите са открили Necro в две приложения в Google Play. Едното е Wuta Camera - приложение с 10 млн. изтегляния до момента. Версиите на Wuta Camera от 6.3.2.148 до 6.3.6.148 съдържаха злонамерения SDK, който заразява приложенията. Оттогава приложението е актуализирано, за да се премахне зловредният компонент. Отделно приложение с приблизително 1 млн. изтегляния, Max Browser, също е било заразено. Това приложение вече не е налично в Google Play.