Новые трюки Android-зловредов

Зловреды для ОС Андроид начали использовать плагин-фреймворки для своих темных дел, как это происходит и что из этого следует.. В нашей статье.

Специалистами в области ИБ вот уже несколько месяцев прослеживается тренд на использование Android-зловредами легитимных плагинов для Андроид. Некоторые зловреды уже используют DroidPlugin, Parallel Space и VirtualApp для установки на устройство рекламного ПО.

Плагин-фреймворки изначально предназначены для использования не нативных  функций для Android или используются  для  виртуализации для запуска ОС Android других инстанций одного и того же приложения. Проще говоря, при помощи плагинов можно заходить в несколько соцсетй одновременно или устанавливать патчи и обновления не из официального Google Play.

Возможностями плагинов воспользовались и киберпреступники, в октябре 2016 года был обнаружен первый случай использования плагина VirtualApp, который преступники использовали для фишинговых атак на пользователей Twitter и WhatsApp. Примерно через месяц был обнаружен зловред PluginPhantom, который использовал плагин DroidPlugin для своих темных дел.

В начале 2017 года специалистам попался Андроид-зловред HummingWhale, который используя все тот же DroidPlugin, устанавливал  и запускал в рамках виртуальной машины, приложение, которое устанавливал  в виртуальную машину сторонние приложения, зарабатывая на установках.

Немаловажный факт, зараженные приложения (зловредом HummingWhale) до сих пор доступны в официальном Google Play, эти приложения легитимны, но демонстрируют вредоносное поведение внутри виртуальной машины.

Опасность этого метода заключается в том, что киберпреступники таким способом могут распространять не только рекламных зловредов, но и банковских троянцев, а это уже больно ударит по владельцам зараженных устройств- резюмируют специалисты ИБ.