Исследователи компании ThreatFabric, занимающейся анализом угроз, опубликовали отчет с подробным описанием некоторых недавних изменений в дропперах вредоносных программ для Android в магазине Google Play. Недавние изменения в политике Google Play, ограничивающие доступ к определенным разрешениям, подтолкнули разработчиков вредоносных программ к поиску обходных путей. Google постоянно работает над обнаружением вредоносных приложений и предотвращением их появления в своих магазинах приложений, где пользователи могут установить их и заразить свои устройства. Однако хитрые разработчики вредоносных программ постоянно разрабатывают новые способы проникновения вредоносных приложений в официальные магазины приложений.

Одним из общепризнанных методов достижения этой цели является использование дропперов, представляющих собой приложения, которые при первой установке содержат очень мало вредоносного кода. Дропперы обычно маскируются под приложения с полезными функциями и часто действительно предлагают по крайней мере некоторые из рекламируемых функций. Однако после установки вредоносные дропперы загружают и устанавливают вредоносный код. Поскольку сами дропперы не содержат основную часть вредоносного кода, а загружают его из внешних источников, распознать дропперы как вредоносные сложнее. 

Дропперы вредоносных программ для Android, как правило используют разрешение REQUEST_INSTALL_PACKAGES, которое позволяет приложению выдавать приглашение пользователям разрешить приложению устанавливать пакеты. Дропперы вредоносных программ злоупотребляют этим разрешением, чтобы получить возможность загружать вредоносный код. Однако еще в мае этого года Google объявила о грядущем изменении своей политики Google Play, ограничивающем доступ к этому разрешению. Это изменение вступило в силу в конце сентября и требует, чтобы отправка, получение и установка пакетов были частью основных функций приложения для доступа к разрешению REQUEST_INSTALL_PACKAGES.

Новая политика ограничивает доступ к разрешению приложениям, таким как веб-браузеры, файловые менеджеры и специализированные магазины приложений. Однако разработчики вредоносного ПО обнаружили как минимум два разных способа обойти это ограничение. ThreatFabric обнаружила, что первый из этих двух методов используется в дроппере Sharkbot.

Вместо того, чтобы пытаться установить сам вредоносный код, Sharkbot вместо этого открывает веб-страницу в браузере пользователя по умолчанию. Эта веб-страница выглядит как Google Play Store и отображает поддельное обновление приложения-дроппера. Поскольку веб-браузеры по-прежнему могут получить доступ к разрешению REQUEST_INSTALL_PACKAGES в соответствии с новой политикой Play Store, веб-браузер может загрузить и установить «обновление» по указанию ничего не подозревающих пользователей. Пользователи, которые завершат этот процесс обновления, невольно заразят свои устройства вредоносным ПО Sharkbot.

ThreatFabric также обнаружил второй обходной путь, используемый как другим дроппером Sharkbot, так и дроппером для вредоносного ПО Vultur. В соответствии с новой политикой Play Store файловым менеджерам по-прежнему разрешен доступ к разрешению REQUEST_INSTALL_PACKAGES, и разработчики вредоносных программ могут воспользоваться этим разрешением, создав дропперы, которые маскируются под законные приложения файлового менеджера. Затем эти вредоносные приложения-менеджеры файлов могут отображать поддельный экран обновления и напрямую запрашивать возможность установки пакетов. Если пользователи предоставят эту возможность дропперам вредоносного ПО, они смогут быстро установить вредоносную полезную нагрузку.

Пользователи Android всегда должны с осторожностью предоставлять приложениям возможность устанавливать пакеты. Как правило, этот параметр следует включать только для доверенных специализированных магазинов приложений. Пользователи также должны знать, что настоящий Google Play Store никогда не будет запрашивать доступ к этой возможности, поскольку она предоставляется по умолчанию.