Google удалила из своего магазина приложений Google Play около 1700 приложений, которые были частью семейства потенциально нежелательных программ.
Получившее название «Bread» и также известное как «Джокер», это семейство потенциально вредоносных приложений (PHAs) получало данные пользователей при выставлении счетов и было замечено еще в 2017 году, когда приложения были сосредоточены исключительно на мошенничестве с использованием SMS.
Со временем разработчики приложений сосредоточились на поиске новых методов маскировки, чтобы избежать новых политик Google Play Store и развивающейся защиты Play Protect.
По словам Google, 1700 приложения семейства Bread были обнаружены и удалены из Play Store еще до того, как пользователи их загрузили.
«Похоже, что многие из этих приложений были специально разработаны для того, чтобы попытаться незаметно проникнуть в Play Store, и их больше нигде не замечено», - отметили Алек Гуэртин и Вадим Котов из команды безопасности и конфиденциальности Android.
С момента первоначального обнаружения приложения «Bread» перешли с мошенничества с использованием SMS-сообщений на биллинг WAP, следуя новым политикам Play Store, ограничивающим использование разрешения SEND_SMS.
Пользователь может выполнить платеж по счету за какую-либо услугу через веб-страницу, предоставленную оператором, где ему необходимо ввести свой номер телефона, а затем подтвердить запрос. Проверка выполняется либо когда пользователь подключается к странице через мобильные данные, либо когда пользователь вводит код, отправленный ему через SMS.
Проблема с этими методами проверки заключается в том, что они не могут определить, поступает ли запрос непосредственно от пользователя, а только то, что он исходит от их устройства. Таким образом, авторы вредоносных программ могут использовать автоматизацию (вводимые клики, пользовательские анализаторы HTML и получатели SMS), чтобы перехватить взаимодействие веб-страницы с пользователем и совершить мошенничество.
Приложения из семейства «Bread» использовали многочисленные методы, чтобы избежать анализа Play Store.
«Мы наблюдаем, что именно количество и объем является предпочтительным подходом для разработчиков «Bread». В разное время мы видели от трех и больше активных вариантов приложений, использующих разные подходы или предназначающихся для разных носителей. В каждом варианте вредоносный код, присутствующий в каждом образце, может выглядеть почти идентично, только с одной измененной техникой уклонения», - объясняет Google.