Специалистами компании Check Point была обнаружена вредоносная программа, замаскированная под игровое приложение BrainTest. В Google Play данное приложение было размещено дважды: впервые – 24 августа этого года, после чего приложение удалили, но 15 сентября оно вновь появилось в магазине. Согласно информации Check Point, количество потенциальных жертв может достигать миллиона пользователей.
В состав BrainTest входило два компонента: непосредственно само приложение, которое загружалось из Google Play, и бекдор, устанавливавший первое приложение.
Для того, чтобы избежать обнаружения и успешно пройти все проверки в Google Play, создатели BrainTest использовали в своей разработке разные техники. Так, приложение могло определить, применяется ли там, где запущен BrainTest, домен или IP, имеющий отношение к Google Bouncer. Если ответ положительный, то приложение не проявляет какой-либо вредоносной активности, что позволяет ему проходить все проверки магазина. Помимо этого, вредоносной программой применялись такие техники, как загрузка динамического кода и инструмент для обфускации (запутывания) кода, разработанный компанией Baidu. Исходя из данного факта, специалисты предполагают, что ответственность за атаку несут хакеры из Китая. В совокупности механизмы, упомянутые выше, делают обратный инжиниринг данного приложения достаточно сложной задачей. Как уверяют специалисты, появление такого приложения, как BrainTest, знаменует собой выход киберпреступников на новый уровень создания мобильных угроз.
Чтобы повышать свои привилегии в целевой системе, приложением использовались четыре эксплоита. Также в арсенале злоумышленников были два системных приложения, которые постоянно следили за тем, чтобы BrainTest не был удален. Удаленные компоненты вредоносной программы попросту восстанавливались в системе. Для того, чтобы окончательно избавиться от приложения, необходимо перепрошить устройство.
