Google удаляет несколько вредоносных приложений из своего Play Store

Google Play Store снова оказался в режиме контроля за ущербом из-за того, что пользователям разрешено загружать вредоносные приложения. Этот инцидент касается трех разных приложений и еще раз доказывает, насколько больше усилий технический гигант должен приложить для борьбы с злоумышленниками, которые могут обойти якобы жесткий процесс проверки Play Store.

Нарушение безопасности было обнаружено исследователями Lookout и впоследствии было освещено в двух отдельных сообщениях в блоге. Первый пост касался двух приложений, содержащих вредоносные программы из семейства вредоносных программ ViperRAT, которые, по словам Lookout, являются «известной мобильной продвинутой постоянной угрозой (mAPT)». Рассматриваемые приложения представляли собой «чатовые» приложения (VokaChat и Chattak), которые были загружены более тысячи раз, если объединить статистику загрузки обоих приложений.

В прошлом ViperRAT использовался для проведения фишинговых атак на Силы обороны Израиля, а именно для того, чтобы члены ЦАХАЛ загружали программное обеспечение для наблюдения. Наблюдение за частными данными также, вероятно, было мотивом этого недавнего заражения. Однако исследователи отмечают следующие отличия:

Интересно, что в этих новых образцах полностью реализован функционал чата, что отличается от предыдущих образцов. Кроме того, инфраструктура управления и контроля для двух образцов оставалась активной (на момент написания статьи) и даже включала заявление о конфиденциальности, которое Google требует от разработчиков, публикующих в Play Store.

Третье удаленное приложение было заражено комбинированным набором вредоносных программ с названиями Desert Scorpion и FrozenCell. Согласно сообщению в блоге Lookout по этому поводу, рассматриваемое вредоносное ПО было разработано «одним, развивающимся субъектом программного обеспечения для наблюдения под названием APT-C-23, нацеленным на людей на Ближнем Востоке». Целями, по-видимому, являются люди в Палестине, о чем свидетельствует предыдущая фишинговая кампания APT-C-23, проведенная на Facebook.

И снова слежка была основной функцией вредоносного приложения, как пояснила Lookout:

Функциональность наблюдения Desert Scorpion находится в полезной нагрузке второго уровня, которую можно загрузить только в том случае, если жертва загрузила, установила и взаимодействовала с приложением чата первого уровня. Приложение чата действует как дроппер для этого приложения полезной нагрузки второго уровня.

Киберпреступники не глупы, и Google, похоже, их недооценивает. Недопустимо, чтобы так много вредоносных приложений попадают в Play Store, не будучи обнаруженными встроенным механизмом сканирования, реализованным Google. Компания должна исправить это и быстро, если они хотят сохранить клиентов.