Reklame na renomiranim sajtovima automatski preuzimaju lažno ažuriranje za Android u kome se nalazi malver

Mobilni telefoni, 06.05.2016, 01:30 AM

Stručnjaci kompanije Intel Security naišli su na maliciozne reklame na renomiranim web sajtovima koje na uređaje posetilaca automatski preuzimaju ažuriranje za Android koje krije malver nazvan Android/Dmisk.

Do infekcije dolazi kada korisnici Androida posete neke sajtove, sa kojih njihov podrazumevani browser krišom preuzima fajl Android_Update_6.apk. Stručnjaci iz Intel Security pronašli su maliciozne reklame na renomiranim sajtovima kao što su Slashdot i Android Police, zatim na francuskim informativnim portalima kao što je 20 Minutes i na nemačkim sajtovima kao što je SPON.

Sajtovi sa kojih se širi ovaj malver nisu krivi za to jer su reklame koje se prikazuju na njima pod kontrolom oglasnih mreža.

S obzirom na naziv pomenutog APK fajla većina korisnika bi pomislila da je u pitanju ažuriranje Android 6.0 Marshmallow. Pokretanje ovog fajla instalira aplikaciju Android Update 6 čija se ikona pojavljuje na ekranu, a njeno pokretanje dovodi do pokretanja malvera Dmisk. Kada se to desi, ikona nestaje sa ekrana tako da žrtva može da pomisli da aplikacija više nije na sistemu.

Dmisk je finansijski malver koji je prvi put primećen krajem prošlog meseca, mada stručnjaci iz Intel Security imaju dokaze da je masovna kampanja sa malicioznim reklamama započela još u januaru ove godine. Oni su još tada primetili da su se neki korisnici na forumima i društvenim mrežama žalili na sumnjivi fajl Android_Update_6.apk koji je automatski preuziman na njihove uređaje kada su se učitali web sajtovi koje su posetili.

Mnogi su se na forumima pitali da li je Android_Update_6.apk legitimno ažuriranje za Android. Odgovor je naravno - ne. Svaki proizvođač i mobilni operater ima svoj način isporuke i instaliranja Android ažuriranja, ali do sada niko nikada nije distribuirao ažuriranja automatskim preuzmanjem APK fajla kada korisnik poseti neki sajt. Upravo ta činjenica je naterala stručnjake iz kompanije Intel Security da detaljno istraže o čemu se ovde radi. Tako je otkriveno da je ono što se predstavlja kao ažuriranje za Android ustvari malver Dmisk.

Dmisk prikuplja informacije o uređaju koje su mu potrebne da bi uređaj bio registrovan na komandno-kontrolnom serveru malvera. Komunikacija između inficiranog uređaja i kontrolnog servera je šifrovana RSA asimetričnim enkripcijskim algoritmom. Malver serveru šalje sledeće informacije o uređaju: verzija Androida, model, proizvođač, browser, IMEI, IMSI, android_id, jezik i zemlja, mobilni provajder.

Malver zatim počinje da prati dolazne SMS poruke i da funkcioniše kao i svaki bankarski trojanac za Android.

Malver za sada cilja na korisnike online bankinga u Francuskoj, Nemačkoj i Rusiji. Istraživači su otkrili da malver koristi filtere za SMS poruke koje se šalju kontrolnom serveru, tako da na server stižu uglavnom poruke mobilnih operatera iz Rusije, Nemačke i Francuske. Autori malvera su zainteresovani baš za ove SMS poruke jer im one omogućavaju da izvedu SMS prevaru i presretanje konfirmacionih kodova koje dobijaju žrtve kada se sajber kriminalci pretplate na premium servise u ime žrtava. Malver izveštava kontrolni server i o tome da li je korisnik prisutan, a ako nije, iako je ekran isključen, server šalje malveru komandu "webClick". Sudeći po ovoj komandi, malver verovatno može u odsustvu korisnika da klikće na reklame, od čega kriminalci imaju finansijsku dobit.

Prema rečima istraživača, prethodne verzije malvera uspele su da se nađu u Googleovoj Play prodavnici oktobra prošle godine. Google je brzo reagovao i uklonio inficirane aplikacije. Sada se malver distribuira sa drugih alternativnih marketa kao što je ApkPure.

Kampanja distribucije malvera Dmisk još uvek traje, a posebno su u opasnosti korisnici Androida u Francuskoj i Nemačkoj. Istraživači iz Intel Security pratili su nove aktivnosti malvera do komandno-kontrolnih servera u Estoniji, posle čega su kontaktirali lokalne vlasti i hosting provajdera kako bi serveri bili ugašeni.