17 апреля 2019 года стало известно, что компания Google внесла изменения в политики безопасности Play Store, благодаря которым разработчики вредоносных Android-приложений больше не смогут публиковать свои продукты в магазине. В частности Google ввела ограничения для Android API, и теперь перед публикацией в Play Store каждое приложение должно в обязательном порядке проходить сложную проверку и тестирование безопасности.
Среди прочих улучшений – проверка приложений людьми, а не автоматизированными средствами. Кроме того, разработчики больше не могут злоупотреблять сервисами доступности Android, а для приложений были введены ограничения на получение доступа к некоторым сервисам, например, к журналам звонков и SMS.
Ранее Google уже добавила в свой магазин сканер, осуществляющий поиск вредоносного ПО на базе активности приложений. К другим мерам по усилению защиты Play Store относится запуск программы выплаты вознаграждения за обнаруженные уязвимости и пр.
Процесс проверки добавляемых в Play Store приложений от новых разработчиков без истории публикации надежных приложений стал быстрее и теперь будет занимать не недели, а дни.
Хотя большинство разработчиков Android-приложений являются добросовестными, некоторые учетные записи все же блокируются за серьезные систематические нарушения политик безопасности. Хотя более чем в 99% случаев решение о блокировке является верным, нас очень волнует то, какие последствия может вызвать блокировка по ошибке, — сообщается в блоге Google.
Отныне владельцы ошибочно заблокированных учетных записей могут сразу же подавать апелляцию, и команда Android внимательно ее рассмотрит. Если в процессе проверки выяснится, что учетная запись заблокирована по ошибке, она будет восстановлена.
В 206 приложениях обнаружена особая разновидность рекламного вредоносного ПО
Исследователи Check Point Research обнаружили вредоносную кампанию в магазине Google Play. Особая разновидность рекламного вредоносного ПО была обнаружена в 206 приложениях, а общее количество скачиваний достигло почти 150 миллионов. Google был быстро уведомлен и удалил зараженные приложения из магазина Google Play. Check Point назвал эту вредоносную программу SimBad, так как большая часть зараженных приложений представляет собой игры-симуляторы.
Функционал SimBad можно разделить на три группы: показ рекламы, фишинг и доступ к другим приложениям. Благодаря возможности открывать заданный URL-адрес в браузере, скрывающийся за SimBad злоумышленник может создавать фишинговые страницы для нескольких платформ и открывать их в браузере, тем самым запускать фишинг-атаки на пользователя.
Благодаря способности зловреда открывать магазины приложений, таких как Google Play и 9Apps, злоумышленник может установить удаленное приложение с назначенного сервера. Так он может в любое время установить вредоносное ПО и увеличить свою прибыль.
Как только пользователь загружает и устанавливает одно из зараженных приложений, SimBad регистрирует себя в манифестах BOOT_COMPLETE и USER_PRESENT, что позволяет SimBad выполнять действия после того, как устройство завершит загрузку и пока пользователь использует свое устройство соответственно.
После установки вредоносная программа подключается к указанному командному серверу для выполнения определенных действий. SimBad обладает широкими возможностями, таких как удаление значка с панели запуска, что усложняет его удаление пользователем, запуск фоновой рекламы и открытие браузера с заданным URL-адресом.
Цепочка заражения SimBad
Командный сервер, наблюдаемый в этой кампании, — addroider.com. На этом сервере запущен экземпляр Parse Server (исходный код на GitHub), версия с открытым исходным кодом инфраструктуры Parse Backend, которая представляет собой модель, позволяющую разработчикам веб-приложений и мобильных приложений связывать свои приложения с бэкэнд-облачным хранилищем и API-интерфейсы, предоставляемые фоновыми приложениями, а также такие функции, как управление пользователями, push-уведомления и многое другое.
Домен addroider.сom был зарегистрирован через хостинг GoDaddy и использует службу защиты конфиденциальности. При заходе на домен из браузера вы получаете страницу входа, очень похожую на другие панели вредоносных программ. Ссылки регистрации «Register» и «Sign Up» не работают и «перенаправляют» пользователя обратно на страницу входа.
Согласно анализу RiskIQ, срок действия домена истек 7 месяцев назад. В результате, возможно, вы просматриваете взломанный, присвоенный домен, который изначально использовался на законных основаниях, но теперь участвует в злоумышленных действиях.
Исследователи Check Point полагают, что разработчики не были в курсе вредоносного содержания RXDrioder SDK, так как, согласно исследованию, кампания не была ориентирована на конкретную страну и была разработана другим разработчиком.
На март 2019 года SimBad действует как рекламное вредоносное приложение, открывая рекламные страницы, однако обладает большим функционалом, способным на большую угрозу.
