Аналитики компании ESET обнаружили, что в магазин приложений Google Play дважды проникало вредоносное шпионское программное обеспечение.
Согласно сообщению, ПО проникало в Google Play, несмотря на проверки.
Оно было создано на основе шпионского инструмента AhMyth с открытым кодом, который был опубликован в 2017 году.
Программа–шпион маскировалась под приложения Radio Balouch и RB Music (предназначены для прослушивания музыки в онлайн-режиме). Последние содержали как легитимные компоненты для потокового радиовещания, так и исходный код RAT-инструмента AhMyth.
Вредоносное ПО могло тайно похищать данные, которые хранятся на зараженном устройстве жертвы, а также отправлять с него SMS–сообщения.
Radio Balouch является первым шпионским приложением, которое попало в официальный магазин приложений для Android. Программа–шпион была удалена с Google Play после обнаружения 2 июля 2019 года, но спустя некоторое время снова появилась в магазине. В каждом случае это ПО было установлено пользователями более 100 раз.
Специалисты ESET подчеркивают, что приложения на основе AhMyth вообще не должны были попасть в Google Play: команда безопасности Google должна была заранее их обнаружить.
– Вредоносная функциональность в AhMyth не скрыта, не защищена. Поэтому определить приложение Radio Balouch и другие его производные как вредоносные и классифицировать их как принадлежащие к семейству AhMyth, это тривиальная задача. Никакие особенные уловки не использовались для обхода Google IP, не было и попыток отложить вредоносную функциональность. Полагаю, ее не обнаружили сразу, так как сначала пользователям нужно было настроить приложение: установить язык, выдать разрешения, несколько раз нажать на кнопку «Далее», и только после этого запускался вредоносный код, – отметил специалист ESET Лукас Стефанко.
По его словам, повторное появление вредоносного ПО в Google Play «должно послужить сигналом тревоги как для группы безопасности Google, так и для пользователей Android».
Как подчеркивают в ESET, если специалисты компании не улучшат работу защитных механизмов в Google Play, в каталог могут проникнуть новые клоны Radio Balouch или другие подобные шпионские приложения.