Cztery różne trojany bankowe rozprzestrzeniły się w Sklepie Play między sierpniem a wrześniem 2021, by zebrać żniwo w postaci 300 tys. infekcji – raportuje firma ThreatFabric. Badacze podkreślają, że mimo starań ze strony Google'a, szkodniki wciąż szaleją, a przestępcy stosują coraz bardziej wyrafinowane metody.
Anatsa (aka TeaBot), Alien, ERMAC, and Hydra – co je łączy? Wszystkie to trojany bankowe, które badacze z ThreatFabric zaliczają do grona malware'u nowej generacji. Nieco ponad kwartał wystarczył, by zainfekowały nawet 300 tys. urządzeń, wyliczono. Zazwyczaj bez wiedzy właściciela.
Podczas gdy tradycyjny malware działa w pewnym sensie zero-jedynkowo, bo albo jest i nieprzerwanie stanowi zagrożenie, albo go nie ma, szkodliwy kod nowej generacji okazuje się bardziej wysublimowany. Budzi się w określonych warunkach, na przykład tylko w specyficznej lokalizacji, po czym opóźnia ostateczny atak. Tak, by poszkodowany nie mógł powiązać go z konkretną aplikacją czy zdarzeniem.
Jako przykład przedstawiono historię ERMACa i Hydry; trojanów początkowo niestosowanych przeciwko mieszkańcom USA, a później precyzyjnie wprowadzonych na ten właśnie rynek za pośrednictwem aplikacji do skanowania kodów QR. Wykrywszy inną niż Stany Zjednoczone lokalizację, skaner działał tak jak uczciwe narzędzie, nie zasysając żadnych śmieci.
Inny wzorzec to z kolei seria ataków z wykorzystaniem trojana TeaBot. Dystrybuujące go aplikacje nie miały w sobie ani linijki szkodliwego kodu, dzięki czemu przemknęły spacerkiem przez algorytmy Google Play Protect i całą resztę zasieków. Payload pobierany był dopiero przez system aktualizacji. Albo witrynę internetową naśladującą panel kontroli zdalnej.
Jeszcze inną taktykę wybrali autorzy trojana Alien. Swojego szkodnika dorzucili do aplikacji fitnessowej, lecz ponownie nie bezpośrednio, tylko w pakiecie z dodatkowymi zestawami ćwiczeń. Gdyby użytkownik nie zdecydował się na ich pobranie, to pozostałby bezpieczny. Ale kto odmówiłby gratisu, czyż nie?
Źeby nie być gołosłownym, ekipa ThreatFabric przygotowała listę 12 aplikacji znalezionych w Sklepie Play, które wykorzystywały opisane techniki. Przypomnijmy, łącznie z powodzeniem zainfekowały ponad 300 tys. urządzeń. Nie wiadomo, na ilu z nich pozostały uśpione, ale niewątpliwie lepiej losu nie kusić. A oto i one:
Źródło zdjęć: Unsplash (Łukasz Radziejewski)
Źródło tekstu: ThreatFabric, oprac. własne