Bago Games В магазине Google Play были обнаружены вредоносные приложения для Android на базе Minecraft, которые скомпрометировали устройства для создания бот-сетей.
В среду исследователи из Symantec сообщили, что восемь приложений, размещенных в магазине, были заражены вредоносным ПО Sockbot с базой установки от 600 000 до 2,6 миллиона устройств.
В блоге Symantec сообщила, что приложения сумели проникнуть в официальный магазин приложений Google Play для Android, представившись дополнительным функционалом для популярной игры Minecraft: Pocket Edition (PE). Они не являются официальными приложениями Minecraft, но вместо этого предлагают «скины», которые можно использовать для изменения внешнего вида игровых персонажей.
Команда безопасности считает, что приложения изначально были направлены на получение незаконного дохода от рекламы. Было обнаружено, что одно из приложений подключалось к серверу C & C, чтобы получить приказ открыть сокет с помощью SOCKS перед подключением к целевому серверу, что дало приложению список рекламы и метаданных для запуска рекламных запросов.
Однако в приложении нет функциональности для отображения рекламы, поэтому исследователи полагают, что сетевая система, используемая приложением, может также использоваться для компрометации мобильных устройств для других целей.
Встроенный троян, называемый Sockbot , создает SOCKS прокси для дохода от рекламы и потенциального порабощения ботнета.
«Эта очень гибкая прокси-топология может быть легко расширена, чтобы воспользоваться рядом сетевых уязвимостей, и может потенциально выйти за границы безопасности», - говорит Symantec. «В дополнение к разрешению произвольных сетевых атак, большой объем этой инфекции также может быть использован для организации атаки распределенного отказа в обслуживании (DDoS)».
Есть один разработчик, который связан с приложениями. Оператор, получивший название FunBaster, гарантировал, что код приложения запутан, а строки ключей зашифрованы, что может объяснить, как приложениям удалось обойти процессы безопасности Google, чтобы в первую очередь попасть в Google Play. Кроме того, разработчик подписывает каждое приложение другим ключом разработчика.
После установки приложение запрашивает множество разрешений, включая доступ к данным GPS и Wi-Fi, открытие сетевых подключений, разрешение на чтение и запись на внешние устройства хранения и возможность отображения предупреждений.
Вредоносная программа в первую очередь нацелена на США, но жертвы также были обнаружены в России, Украине, Бразилии и Германии.
Symantec сообщила Google об этих приложениях 6 октября, и технический гигант быстро удалил их из магазина.
Смотрите также: Мобильные приложения для торговли акциями игнорируют критические предупреждения
В сентябре исследователи Checkpoint обнаружил 50 приложений в магазине Google Play, который позволял преступникам зарабатывать деньги, тайно отправляя сообщения в SMS-сервисы премиум-класса и подписывая пользователей на платные онлайн-сервисы без их ведома.
Предыдущее и связанное покрытие
Вот каждый патч для уязвимости KRACK Wi-Fi, доступный прямо сейчас
Поставщики быстро реагируют на уязвимость, которая позволяет злоумышленникам подслушивать ваш сетевой трафик.
Было обнаружено, что более 500 приложений для Android и 100 миллионов загрузок в тайне содержат шпионское ПО
Без ведома разработчиков приложений, комплект для разработки рекламного программного обеспечения содержал код для кражи данных от пользователей их продуктов.
Это противное новое Android Ransomware шифрует ваш телефон - и меняет ваш PIN-код
DoubleLocker Ransomware использует технику, ранее использовавшуюся троянами, чтобы получить полный контроль над устройством и полностью заблокировать его.
