25/07/25
Используя специально созданные APK-файлы, они маскируют вредоносное ПО под настоящие приложения и распространяют их вне официальных каналов, в том числе через фишинговые сообщения и фальшивые страницы популярных брендов.
Сами приложения представлены в виде популярных услуг, приложений с вознаграждениями, азартных игр или инструментов от известных компаний, что усиливает доверие пользователей, пишет Securitylab. Установив такое приложение, жертва фактически предоставляет доступ ко множеству системных ресурсов — от геолокации и списков контактов до журналов вызовов и уникальных идентификаторов устройства. Помимо сбора конфиденциальной информации, такие программы запускают скрытые механизмы для подмены трафика и автоматического взаимодействия с рекламными системами, генерируя искусственные клики, просмотры и установки.
В ходе анализа выявлено множество APK-файлов с разной степенью сложности реализации, но имеющих общую архитектуру и принадлежащих к одному вредоносному кластеру. Некоторые образцы сконцентрированы исключительно на генерации поддельных рекламных взаимодействий, практически не выполняя других функций. Другие — нацелены на кражу учётных данных путём имитации интерфейсов банковских или социальных сервисов.
Есть и такие, которые скрытно собирают пользовательские данные, выдавая себя за игры или утилиты. Попадаются даже программы, обещающие награды за простые действия, но при этом злоупотребляющие разрешениями и скрыто передающие информацию на удалённые серверы. Отдельную категорию составляют азартные приложения, прикрывающиеся легальными лазейками и собирающие как финансовые, так и персональные данные.
Один из наиболее примечательных случаев связан с поддельным клиентом Facebook*, распространяемым через фальшивые страницы с адресами, имитирующими официальные, и использующим набор разрешений, включая доступ к точному местоположению, под видом системных компонентов.
После установки приложение загружает конфигурации в зашифрованном виде с использованием AES-ECB и подменяет поведение в зависимости от среды исполнения: при запуске на виртуализированных системах или эмуляторах типа Genymotion оно может отложить активацию вредоносной нагрузки или вообще не проявлять активности. В реальной среде приложение устанавливает соединение с управляющими серверами, маскирующимися под службы сбора телеметрии, и передаёт данные о платформе, локали, пользовательских метаданных и других параметрах.
Технический анализ показал использование ApkSignatureKillerEx — инструмента, позволяющего обойти проверку подписи пакетов Android и внедрить вторичные компоненты, такие как скрытый «origin.apk», работающий в фоне. Инфраструктура вредоносной сети организована на базе сегментированных поддоменов с иерархической структурой и адаптивным поведением. Некоторые экземпляры ориентированы на конкретные страны или языки, что говорит о таргетированной стратегии. В коде встречаются элементы на упрощённом китайском языке, серверы развёрнуты на Alibaba Cloud, а архитектура соответствует модели «вредоносного ПО как услуги» (MaaS) — с возможностью масштабирования атак и использования краденых данных в будущем.
