Около 1700 приложений, зараженных вредоносным ПО Joker Android (также известным как «Bread»), были обнаружены и удалены Google Play Protect из Play Store с тех пор, как компания начала отслеживать его в начале 2017 года.
По крайней мере, одна серия таких вредоносных приложений действительно попала в Play Store, как обнаружили исследователи безопасности CSIS Security Group в сентябре 24 приложения с общим объемом загрузки более 472 000 приложений.
«Похоже, именно объем является предпочтительным подходом для разработчиков Bread», — говорит Google. «В разное время мы видели три или более активных варианта, использующих разные подходы или предназначающихся для разных носителей. () В пиковые периоды активности мы видели до 23 разных приложений из этого семейства, представленных на Play за один день».
Вредоносное ПО, используемое для мошенничества
Такие вредоносные приложения для Android изначально были разработаны создателями Joker для осуществления мошенничества с использованием SMS, но с тех пор «в значительной степени отказались от этого для выставления счетов WAP после введения новых политик Play, ограничивающих использование разрешения SEND_SMS и увеличивающих охват Google Play Protect».
Более новые версии вредоносной программы Joker перешли на другой вид мошенничества с мобильными платежами, названный мошенничеством с оплатой за проезд. Используя эту новую методику, операторы вредоносных программ используют вредоносные приложения, чтобы обманом заставить жертв подписываться на различные типы контента или покупать его через счет за мобильный телефон.
«Оба описанных выше метода выставления счетов обеспечивают проверку устройства, но не проверку пользователя, — объясняют Алек Гуэртин и Вадим Котов из команды Android Security & Privacy Team.
«Перевозчик может определить, что запрос исходит от устройства пользователя, но не требует какого-либо взаимодействия с пользователем, которое не может быть автоматизировано.
Чтобы иметь возможность автоматизировать вредоносный процесс выставления счетов без какого-либо вмешательства пользователя, авторы вредоносных программ используют преимущества введенных кликов, пользовательских HTML-анализаторов и SMS-приемников.
Во многих случаях пользователи, заражающие свои устройства Android вредоносным ПО Joker, также обнаруживают, что функции приложения не соответствуют установленному ими приложению.
Приложения Joker также часто поставляются без какой-либо другой функциональности, кроме процесса выставления счетов, а в некоторых случаях просто становятся клонами других популярных приложений в Google Play Store.
«Google Play Protect сканирует более 50 миллиардов приложений каждый день на более чем двух миллиардах устройств», — говорится в отчете «Обзор безопасности и конфиденциальности Android за 2018 год», опубликованном в марте 2019 года.
«Анализируя и просматривая свыше 500 000 приложений в день в рамках своего облачного процесса проверки, Google Play Protect помогает предотвратить попадание вредоносных приложений в Google Play».
Как показали данные Google в ежегодном обзоре Google Play Store за 2018 год, они отклонили на 55% больше приложений для Android, чем в 2017 году, и увеличили показатель приостановки приложений примерно на 66% в годовом исчислении.
Просто для того, чтобы взглянуть в будущее, хотя в ежегодном обзоре за 2018 г. не указано точное количество удаленных вредоносных приложений, в 2017 г. компания заявила, что «сняла более 700 000 приложений, нарушивших правила Google Play, что на 70% больше, чем у приложений». снят в 2016 году. "
Авторы вредоносных программ Joker вынуждены адаптироваться
Создатели вредоносного ПО Joker постоянно были вынуждены менять тактику для поиска пробелов в защите Play Store, поскольку Google представила новые политики и Google Play Protect масштабируемой защиты.
«Похоже, что многие из этих образцов были разработаны специально для того, чтобы попытаться незаметно проникнуть в Play Store».
Источник: