Дропперы – главное средство распространения мобильных зловредов

Компания ThreatFabric на протяжении последних полутора лет фиксирует постоянный рост использования так называемых «дропперов» для заражения вредоносным ПО мобильных устройств. Дропперами называют программы, которые сами по себе не причиняют вреда устройству. Однако они служат для последующей загрузки на смартфоны или планшеты опасных зловредов. Эта тактика позволяет киберпреступникам все успешнее обходить защиту, в частности, в официальном магазине приложений Google Play Store.

Сканнеры Google тщательно проверяют код каждого поступающего в магазин приложения. Но проблема состоит в том, что объем кода дропперов чрезвычайно невелик, и обнаружить их – задача сама по себе не простая. Кроме того, злоумышленники все чаще используют дропперы с отложенным действием. Такие программы активируются не сразу, а через некоторое время после установки на устройство – либо через несколько часов интенсивного использования приложения, в код которого они внедрены. В этом случае дропперы вообще никак не проявляют себя при проверке, и обнаружить их практически невозможно. А снабженные ими приложения вполне исправно исполняют свои заявленные функции.

Успех этой тактики уже породил новую криминальную индустрию - downloader-as-a-service (DaaS), полагает исследователь ThreatFabric Гаэтан ван Димен. По его словам, создатели дропперов все активнее «сдают в аренду» свои программы для загрузки зловредов другим киберпреступникам. Наиболее часто дропперы используются для инфицирования Android-устройств мобильными банковскими троянцами.