Тревожное открытие: выявлено 50 вредоносных «игрушечных» приложений
Новый тревожный отчет компании по кибербезопасности CyberGuard Labs показал, что 50, казалось бы, безобидных приложений для Android, в основном отнесенных к категории детских игр и утилит на игрушечную тематику, в совокупности заразили более 2,3 миллиона смартфонов. Эти приложения содержат сложную и очень устойчивую форму вредоносного ПО, получившего название PhantomLock, которое настолько глубоко внедряется в систему устройства, что может пережить даже сброс настроек до заводских настроек, что делает его практически не поддающимся удалению для обычного пользователя.
Открытие, обнародованное 10 июня 2024 года, после нескольких недель интенсивного анализа, проведенного командой аналитики мобильных угроз CyberGuard Labs, показало, что эти приложения изначально были доступны в Google. Play Store, накопивший миллионы загрузок, прежде чем протоколы безопасности Google пометили и удалили их. Однако ущерб уже был нанесен, и многие из этих вредоносных пакетов с тех пор вновь появились в различных сторонних репозиториях приложений и на сомнительных сайтах загрузки, продолжая представлять серьезную угрозу.
"Это не просто очередная схема мошенничества с рекламой", - объяснил доктор. Аня Шарма, руководитель отдела анализа мобильных угроз в CyberGuard Labs, на брифинге для прессы в лондонской штаб-квартире. «PhantomLock представляет собой значительный рост сложности мобильных вредоносных программ. Он нацелен на фундаментальные компоненты системы и эффективно внедряется на уровне, с которым большинство пользователей и даже многие ИТ-специалисты не готовы справиться». Среди приложений, выявленных в отчете, есть такие популярные приложения, как "Kids Playtime Paradise", "Color Splash Fun", "Block Blast Mania" и "Virtual Pet Adventures". Все они предназначены для более молодой аудитории или обычных геймеров.
Как работает вредоносное ПО PhantomLock
Изобретательность PhantomLock заключается в его многоэтапном заражении процесс и его усовершенствованные механизмы сохранения. После установки, казалось бы, невинное приложение запрашивает широкий спектр разрешений, часто замаскированных под необходимые для его функциональности. Получив разрешение, вредоносная программа использует известные уязвимости в старых версиях Android (хотя некоторые варианты могут влиять на более новые версии ОС вплоть до Android 12) для получения root-доступа к устройству.
При повышенных привилегиях PhantomLock затем приступает к установке в критические системные разделы, такие как /system/vendor или /data/app-lib, и изменяет основные загрузочные файлы. Именно эта глубокая интеграция делает удаление столь трудным. Когда пользователь выполняет сброс настроек, который обычно стирает пользовательские данные и переустанавливает операционную систему, компоненты PhantomLock, являющиеся частью измененного образа системы, просто переустанавливаются, позволяя вредоносному ПО снова появиться после сброса.
Основной полезной нагрузкой PhantomLock, судя по всему, является изощренное мошенничество с рекламой, приносящее доход операторам за счет навязчивой всплывающей рекламы, кликов по фоновой рекламе и мошенничества с подписками. Тем не менее, CyberGuard Labs также обнаружила доказательства обширной кражи данных, включая личные контакты, SMS-сообщения, историю просмотров, точные данные о местоположении и даже идентификаторы устройств, которые могут быть использованы для дальнейших целевых атак или кражи личных данных. Вредоносное ПО также значительно разряжает аккумулятор и ухудшает общую производительность устройств, часто делая телефоны медленными и ненадежными.
Серьезные последствия для затронутых пользователей
Для миллионов пользователей, чьи устройства сейчас взломаны, последствия являются серьезными. Помимо немедленного раздражения от постоянной рекламы и медленного телефона, их личные данные находятся под угрозой. Финансовые последствия также могут быть существенными: от завышенных счетов за передачу данных из-за фоновой рекламной активности до потенциальных несанкционированных покупок, если банковская информация будет скомпрометирована другими способами, чему способствует присутствие вредоносного ПО.
Неудаляемый характер PhantomLock означает, что простого удаления вредоносного приложения или даже выполнения сброса настроек часто бывает недостаточно. Многие затронутые пользователи сталкиваются с мрачным выбором: либо продолжать использовать взломанное устройство, рискуя продолжать кражу данных и вторжение в личную жизнь, либо инвестировать в дорогостоящий профессиональный ремонт, который может включать перепрошивку специальной прошивки, либо, в худшем случае, полную замену устройства. Это бремя непропорционально сильно затрагивает тех, у кого нет технических знаний или финансовых ресурсов для смягчения угрозы.
Что делать, если на вас повлиял PhantomLock
Если вы подозреваете, что ваше устройство Android может быть заражено PhantomLock или подобным постоянным вредоносным ПО, решающее значение имеют немедленные действия:
- Определите подозрительные приложения: Найдите приложения, которые вы не помните, устанавливали, чрезмерный расход заряда батареи, необычная сетевая активность или внезапный приток всплывающих окон с рекламой.
- Отключитесь от Интернета. Отключите Wi-Fi и мобильные данные, чтобы предотвратить взаимодействие вредоносного ПО со своими серверами управления и кражу дополнительных данных.
- Попытка удаления. Откройте «Настройки» > «Приложения» и попытайтесь удалить все подозрительные приложения. Имейте в виду, что это может не полностью удалить PhantomLock.
- Выполните сброс настроек к заводским настройкам (с осторожностью): Хотя это часто неэффективно против PhantomLock, это необходимый первый шаг. Сначала создайте резервную копию важных данных, но избегайте восстановления резервных копий приложений, которые могут повторно занести вредоносное ПО.
- Обратитесь за профессиональной помощью. В случае постоянного заражения обратитесь к авторитетному специалисту по ремонту мобильных телефонов или в авторизованный сервисный центр. У них могут быть инструменты для перепрошивки вашего устройства — процесс, который действительно может уничтожить вредоносное ПО.
- Рассмотрите возможность замены устройства:В серьезных случаях, когда профессиональная помощь является непомерно дорогостоящей или безуспешной, замена устройства может быть наиболее безопасным вариантом.
Защита себя в будущем
Бдительность — ваша лучшая защита от таких изощренных угроз. DailyWiz советует пользователям Android:
- Загружать из надежных источников. В первую очередь используйте официальный магазин Google Play, но всегда соблюдайте осторожность и внимательно изучайте детали приложения.
- Читайте обзоры и проверяйте разработчиков. Ищите приложения с большим количеством положительных, искренних отзывов. Изучите другие приложения разработчика и их репутацию.
- Тщательно проверяйте разрешения. Будьте осторожны с приложениями, запрашивающими чрезмерные или ненужные разрешения (например, простое приложение-раскраска, запрашивающее доступ к вашим контактам или SMS).
- Обновляйте свою ОС. Регулярно устанавливайте исправления безопасности Android и обновления ОС, поскольку они часто содержат исправления уязвимостей, которыми могут воспользоваться злоумышленники. вредоносное ПО.
- Используйте надежное программное обеспечение для обеспечения безопасности мобильных устройств: установите хорошо зарекомендовавшее себя антивирусное или антивирусное решение от проверенного поставщика.
- Будьте настроены скептически: Если приложение кажется слишком хорошим, чтобы быть правдой, или обещает функции, которые кажутся нереальными для бесплатного приложения, скорее всего, так оно и есть.
Борьба с мобильным вредоносным ПО продолжается, и PhantomLock служит ярким напоминанием об этом, даже на первый взгляд. невинные «игрушечные» приложения могут скрывать зловещие намерения. Оставайтесь в курсе событий и соблюдайте строгую цифровую гигиену – это ваши самые сильные инструменты для защиты ваших личных данных и целостности устройства.
