Специалисты Trend Micro обнаружили в официальном каталоге приложений Google Play и на ряде других площадок семейство мобильной малвари Godless (ANDROIDOS_GODLESS.HRX). Вредонос использует в работе ряд рутинговых эксплоитов и атакует устройства под управлением Android 5.1 или ниже.
Godless распространяется под видом самых разных легитимных приложений. Попав на устройство и загрузив эксплоиты, малварь убеждается, что экран устройства выключен и приступает к выполнению вредоносного кода. Получив root-привилегии, Godless внедряется в систему поглубже, выдавая себя за системное приложение. Это позволяет малвари закрепиться на устройстве, так как после этого удалить ее будет не так-то просто. Затем Godless связывается с управляющим сервером, откуда получает список приложений, которые нужно установить на пострадавший девайс.
«Версии приложений, распространяющиеся через Google Play, не содержат вредоносного кода. Однако существует риск, что эти приложения в будущем обновятся до вредоносных версий без ведома пользователя», — пишут специалисты Trend Micro.
Исследователи отмечают, что более ранние версии Godless действовали немного иначе. Малварь загружала и устанавливала на зараженное устройство приложение-клон Google Play, которое похищало учетные данные жертвы. Когда данные пользователя оказывались в руках злоумышленников, уже легитимный Google Play использовался для установки на устройство дополнительных приложений.
Обсуждение закрыто.