Malver Mobstspy pronađen u legitimnim aplikacijama u Google Play prodavnici
Mobilni telefoni, 10.01.2019, 00:30 AM
Istraživači kompanije Trend Micro otkrili su brojne igre i aplikacije koje sadrže ugrađeni špijunski softver koji može da ukrade lične podatke i pošalje ih sajber-kriminalcima.
Maliciozni program nazvan Mobstspy je Android spyware koji je pronađen u uslužnim aplikacijama i igrama koje su uspešno maskirane tako da izgledaju legitimno. Većina zaraženih uređaja je pronađena u Indiji, ali izgleda da je Mobstspy distribuiran globalno jer je uspeo da zarazi uređaje u oko 196 zemalja.
Identifikovano je ukupno 7 aplikacija koje sadrže Mobstspy i to su:
Flappy Bird
HZPermis
Pro Arabe
FlashLight
Flappy Birr Dog
Win7Launcher
Win7imulator
Jedna od ovih aplikacija je instalirana preko 100000 puta.
S obzirom da je malver osposobljen za fišing, napadač može lako pokrenuti lažni ekran za prijavljivanje kada žrtva pokuša da koristi svoj Google ili Facebook nalog. Budući da većina korisnika ne ume da razlikuje lažne i originalne ekrane za prijavljivanje, skoro je izvesno da će upasti u zamku.
Ako korisnik unese svoje korisničko ime i lozinku, pojaviće se lažna iskačuća poruka u kojoj se tvrdi da je prijavljivanje bilo neuspešno. U tom trenutku zlonamerni softver je već ukrao podatke koje žele sajber-kriminalci.
U slučaju da je korisnik omogućio dvofaktornu autentifikaciju (2FA), napadaču bi bilo teško da otme nalog. Srećom, i Google i Facebook nude 2FA.
Mobstspy se razlikuje od drugih špijunskih programa za Android zato što krade širok spektar podataka sa zaraženih uređaja kao što su kontakti, evidencije poziva, slike, snimljene razgovore i tekstualne poruke. Posebno traži podatke iz aplikacija kao što su Snapchat, WhatsApp, Viber i aplikacija za snimanje razgovora. Pored toga, malver pretražuje folder u kome se čuvaju fajlovi koji se prenose preko Bluetootha, folder sa audio fajlovima i folder kamere.
Istraživači kompanije Trend Micro pronašli su C&C servere na koje Mobstspy prebacuje sve ukradene podatke.
Mobstspy dostavlja informacije pomoću Googleovog sistema Firebase Cloud Messaging koji radi na Androidu, iOS i web aplikacijama. Nakon pokretanja zaražene aplikacije na uređaju, zlonamerni program proverava mrežu uređaja, a zatim čita/analizira XML konfiguracijski fajl sa C&C servera, nakon čega prikuplja informacije i šalje napadačima. Nakon isporučivanja podataka, uređaj počinje da prima komande preko Firebase servisa i izvršava ih.
"Ovaj slučaj pokazuje da, uprkos rasprostranjenosti i korisnosti aplikacija, korisnici moraju biti oprezni kada ih preuzimaju na svoje uređaje. Popularnost aplikacija služi kao podsticaj za sajber-kriminalce da nastave da razvijaju kampanje koje ih koriste za krađu informacija ili druge vrste napada. Pored toga, korisnici mogu da instaliraju sveobuhvatno rešenje za zaštitu kako bi zaštitili svoje mobilne uređaje od malicioznog softvera za mobilne uređaje", kažu istraživači.
Inficirane aplikacije su bile dostupne u Google Play prodavnici 2018. godine. Google ih je uklonio, međutim, alternativne prodavnice aplikacija još uvek ih nude pa je trenutno nejasno koliko je uređaja inficirano Mobstspy malverom.
Izdvojeno
Google je prošle godine sprečio objavljivanje 2,3 miliona potencijalno opasnih Android aplikacija na Google Play
Google je objavio da je prošle godine blokirao objavljivanje 2,28 miliona Android aplikacija na Google Play zbog toga što su kršile različite smer... Dalje
Brokewell je novi trojanac koji preuzima kontrolu nad zaraženim Android uređajima i krade podatke korisnika
Istraživači bezbednosti iz kompanije ThreatFabric otkrili su novog bankarskog trojanca za Android koga su nazvali Brokewell, koji može da snimi sva... Dalje
Bankarski malver sakriven u antivirusnoj aplikaciji
Istraživači kompanije Fox-IT otkrili su novu verziju bankarskog trojanca „Vultur“ za Android koja u odnosu na ranije verzije ima napredn... Dalje
Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije
Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje
WhatsApp će blokirati skrinšotove za slike profila
WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje
Pratite nas
Nagrade