Сегодня 18 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → malware

В Google Play устранили 77 опасных приложений — их скачали 19 млн раз

Семьдесят семь вредоносных приложений для Android с совокупным числом установок свыше 19 миллионов были обнаружены в Google Play и впоследствии удалены. Угроза была выявлена специалистами исследовательской группы Zscaler ThreatLabs в ходе анализа новой волны заражений, связанной с банковским трояном Anatsa (известным также как Tea Bot).

 Источник изображения: Tofan Teodor/Unsplash

Источник изображения: Tofan Teodor/Unsplash

Анализ показал, что более 66 % вредоносных приложений содержали компоненты adware, однако наиболее распространённым типом вредоносного ПО стал троян Joker, обнаруженный почти в 25-% проверенных приложений, пишет издание BleepingComputer. После установки Joker получает доступ к чтению и отправке SMS, может делать скриншоты, совершать звонки, копировать списки контактов, собирать данные об устройстве и автоматически подключать платные подписки.

 Источник изображения: Zscaler ThreatLabs

Источник изображения: Zscaler ThreatLabs

Часть приложений относилась к категории maskware — вредоносов, маскирующихся под легитимные приложения, которые внешне работают как заявлено, но в фоновом режиме похищают учётные данные, банковскую информацию, данные о местоположении и SMS, а также могут загружать дополнительные вредоносные модули.

Исследователи Zscaler также обнаружили вариант трояна Joker под названием Harly, который, в отличие от классического Joker, не загружает вредоносный код с сервера, а хранит его внутри APK в зашифрованном виде — например, в ресурсах или нативной библиотеке. Это позволяет обходить проверку Google Play. Согласно отчёту компании Human Security, Harly маскируется под популярные приложения — игры, обои, фонарики и редакторы фото — и уже успел проникнуть в магазин с десятками подобных загрузок.

Последняя версия трояна Anatsa расширила список целевых приложений: теперь он атакует 831 банковское и криптовалютное приложение, тогда как ранее их число составляло 650. При этом злоумышленники использовали приложение Document Reader – File Manager в качестве приманки: после установки оно загружает вредоносный модуль Anatsa, обходя проверку кода.

Для маскировки Anatsa использует битые APK-архивы, что нарушает статический анализ, а также шифрование строк на основе DES в режиме выполнения, обнаружение эмуляторов и регулярную смену имён пакетов и хешей. Троян злоупотребляет разрешениями службы доступности (Accessibility Service), автоматически предоставляя себе расширенные привилегии. Он загружает фишинговые формы со своего сервера для более чем 831 сервиса, включая приложения из Германии и Южной Кореи, и оснащён модулем кейлоггера для сбора произвольных данных.

Исследователь Zscaler Химаншу Шарма (Himanshu Sharma) отметил, что команда ThreatLabz зафиксировала резкий рост числа приложений с рекламным ПО в Google Play на фоне активности таких угроз, как Joker, Harly и банковские трояны, в то время как количество вредоносов вроде Facestealer и Coper, напротив, снизилось.

Хакеры нашли способ отключать антивирус Avast с помощью его же драйвера

Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

 Источник изображения: Ed Hardie / Unsplash

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

 Источник изображения: Trellix

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

 Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

 Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.


window-new
Soft
Hard
Тренды 🔥
OpenAI остаётся только завидовать — обучение китайской модели ИИ DeepSeek R1 обошлось всего в $294 тыс. 4 мин.
С каждым годом переносить эксклюзивы PlayStation на ПК для Sony становится всё выгоднее 2 ч.
Градостроительная стратегия Frostpunk 2 вышла на консолях, а версия для ПК получила полную поддержку геймпадов 2 ч.
Split Fiction стала первой в истории игрой, удостоившейся престижной премии «Выдающийся шведский дизайн» — награду вручил принц Швеции 2 ч.
Энтузиасты докопались до причин лагов и статтеров на ноутбуках Asus ROG — виноваты ошибки в BIOS 3 ч.
Китай прекратил антимонопольное расследование по Google, чтобы бросить все силы против Nvidia 4 ч.
Microsoft обновила «Блокнот», «Ножницы» и Paint в Windows 11 на компьютерах Copilot+ PC 4 ч.
Ставленники Маска создали в xAI «душную» атмосферу — это подрывает боевой дух разработчиков 6 ч.
Valve объявила, когда Steam лишится поддержки 32-разрядной Windows 10 6 ч.
Meta представила редактор виртуальных миров Horizon Studio — метавселенная ускорится и похорошеет 6 ч.
Corsair представила ультралёгкую игровую мышь весом 36 граммов с автономностью до 70 часов 6 мин.
Акции Intel взлетели на новости об инвестициях Nvidia 8 мин.
Intel и Nvidia объявили о подготовке нескольких поколений x86-процессоров с графикой Nvidia для ПК и ЦОД 25 мин.
Oracle добавит ИИ-сервисы в облако UK Sovereign Cloud в рамках инвестиционного плана на $5 млрд 40 мин.
Стартап Carbon3.ai намерен развернуть в Великобритании экологичную суверенную ИИ-инфраструктуру 2 ч.
Intel разработает для NVIDIA кастомные CPU для серверов и ПК, а NVIDIA вложит в Intel $5 млрд 3 ч.
DJI столкнулась с бойкотом со стороны американских чиновников — рынок США закрывается для компании 3 ч.
Hayabusa2 может не суметь взять пробы с астероида 1998 KY26: учёные обсчитались с размерами тела 4 ч.
Giga Computing представила флагманский ИИ-сервер на базе NVIDIA HGX B300 4 ч.
Logitech представила игровую мышь G Pro X2 Superstrike с индуктивными кнопками и обратной связью 4 ч.