Android aplikacije zaražene trojancem preuzete iz Google Play prodavnice više od 100 miliona puta

Mobilni telefoni, 12.08.2019, 10:00 AM

Android aplikacije zaražene trojancem preuzete iz Google Play prodavnice više od 100 miliona puta

Istraživači firme Doctor Web pronašli su trojanca koji je u paketu sa 33 aplikacije distribuiran preko Google Play prodavnice. Aplikacije sa trojancem preuzete su iz Play prodavnice više od 100 miliona puta.

Malver je dizajniran kao modul dodat naizgled bezopasnim aplikacijama kao što su audio plejeri, skeneri barkodova, rečnici i druge vrste aplikacija koje većina ljudi instalira na svojim Android uređajima.

Osim što su potpuno funkcionalne, ove aplikacije ne pokazuju bilo kakvo čudno ponašanje koje je tipično za zlonamerne aplikacije, poput sakrivanja ikone nakon instalacije ili traženja previše dozvola u odnosu na zadatke koje aplikacija treba da obavlja.

Trojanac u aplikacijama je takozvani “clicker” trojanac - vrsta zlonamernog softvera koji ostaje aktivan u memoriji zaraženih uređaja i u pozadini izvršava različite zadatke vezane za prevaru sa oglasima, poput otvaranja web stranica bez znanja žrtve.

Trojanca su istraživači Doctor Weba nazvali Android.Click.312.origin.

Android.Click.312.origin se aktivira tek 8 sati nakon pokretanja aplikacija koje ga sadrže kako ne bi bio otkriven.

Tokom analize ovog trojanca, istraživači Doctor Weba otkrili su još jednu verziju malvera, koja je nazvana Android.Click.313.origin.

Nakon pokretanja na kompromitovanom Android uređaju, malver počinje da prikuplja informacije kao što su:

• verzija OS,

• proizvođač i model uređaja,

• zemlja prebivališta korisnika,

• vrsta internet veze,

• vremenska zona korisnika,

• i informacije o aplikaciji sa trojanskim modulom;

Sve ove informacije ali i druge, pakuju se i šalju na server za komandu i kontrolu malvera (C2), koji će odgovoriti komandama i novim modulima koji će se koristiti, na primer, za nadgledanje instalacije i ažuriranja aplikacija.

Kada korisnik instalira novu aplikaciju na zaraženi uređaj, trojanac će poslati informacije i tehničke podatke o uređaju i novoinstaliranoj aplikaciji na svoj C2 server koji vraća URL-ove za otvaranje u pregledaču , nevidljivom WebView ili u Play Storeu.

"U zavisnosti od postavki komandno-kontrolnog servera i instrukcija koje šalje, trojanac ne samo da može da reklamira aplikacije na Google Play, već i krišom učitava web sajtove, uključujući reklame (čak i videe) ili drugi sumnjiv sadržaj", kažu istraživači.

Neki korisnici su prijavili u Google Play prodavnici da su „automatski pretplaćeni na skupe usluge provajdera sadržaja“ nakon što su instalirali aplikacije koje sadrže Android.Click.312.origin.

Istraživači Doctor Weba prijavili su Googleu aplikacije u kojima je pronađen trojanac. Evo o kojim aplikacijama je reč:

GPS Fix

QR Code Reader

ai.type Free Emoji Keyboard

Cricket Mazza Live Line

English Urdu Dictionary Offline - Learn English

EMI Calculator - Loan & Finance Planner

Pedometer Step Counter - Fitness Tracker

Route Finder

PDF Viewer - EBook Reader

GPS Speedometer

GPS Speedometer PRO

Notepad - Text Editor

Notepad - Text Editor PRO

Who unfriended me?

Who deleted me?

GPS Route Finder & Transit: Maps Navigation Live

Muslim Prayer Times & Qibla Compass

Qibla Compass - Prayer Times, Quran, Kalma, Azan

Full Quran MP3 - 50+ Audio Translation & Languages

Al Quran Mp3 - 50 Reciters & Translation Audio

Prayer Times: Azan, Quran, Qibla Compass

Ramadan Times: Muslim Prayers, Duas, Azan & Qibla

OK Google Voice Commands (Guide)

Sikh World - Nitnem & Live Gurbani Radio

1300 Math Formulas Mega Pack

Обществознание - школьный курс. ЕГЭ и ОГЭ (Social Sciences - School Curriculum. State Uniform Examinations, Basic State Examinations.)

Bombuj - Filmy a seriály zadarmo

Video to MP3 Converter, RINGTONE Maker, MP3 Cutter

Power VPN Free VPN

Earth Live Cam - Public Webcams Online

QR & Barcode Scanner

Remove Object from Photo - Unwanted Object Remover

Cover art IRCTC Train PNR Status, NTES Rail Running Status

Google je uklonio nekoliko prijavljenih aplikacija, dok je jedan broj njih ažuriran čime je uklonjen zlonamerni modul.

Istraživački tim Doctor Weba savetovao je programerima da „odgovorno biraju module za unovčavanje svojih aplikacija i ne integrišu sumnjive SDK-ove u svoj softver“.

Više detalja o ovom trojancu možete naći na sajtu Doctor Weba.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Posle prijave da silikonska futrola može da prevari čitač otiska prsta na Samsung Galaxy S10, kompanija najavila zakrpu

Nakon medijskih izveštaja da čitač otiska prsta u Samsung Galaxy S10 telefonima otključava uređaj i kad skenira neregistrovane otiske prstiju pre... Dalje

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Čitač otiska prsta na Samsung Galaxy S10 može se prevariti običnom silikonskom futrolom

Par iz Velike Britanije primetio je čudnu grešku na svom Samsung Galaxy S10 koja omogućava da se zaobiđe čitač otiska prsta kako bi se otključ... Dalje

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Uprkos Googleovim naporima da njegova prodavnica Android aplikacija bude bez malvera, maliciozne aplikacije i dalje nekako uspevaju da prođu proces p... Dalje

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Skoro svaka aplikacija sadrži bezbednosne propuste, od kojih će neki možda biti otkriveni već danas, ali drugi će ostati nevidljivi dok ih neko n... Dalje

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Googleova Grupa za analizu pretnji (TAG) otkrila je novi 0-day bag u Androidu koji se uveliko koristi za napade na ranjive pametne telefone - Google P... Dalje