Android aplikacije zaražene trojancem preuzete iz Google Play prodavnice više od 100 miliona puta

Mobilni telefoni, 12.08.2019, 10:00 AM

Android aplikacije zaražene trojancem preuzete iz Google Play prodavnice više od 100 miliona puta

Istraživači firme Doctor Web pronašli su trojanca koji je u paketu sa 33 aplikacije distribuiran preko Google Play prodavnice. Aplikacije sa trojancem preuzete su iz Play prodavnice više od 100 miliona puta.

Malver je dizajniran kao modul dodat naizgled bezopasnim aplikacijama kao što su audio plejeri, skeneri barkodova, rečnici i druge vrste aplikacija koje većina ljudi instalira na svojim Android uređajima.

Osim što su potpuno funkcionalne, ove aplikacije ne pokazuju bilo kakvo čudno ponašanje koje je tipično za zlonamerne aplikacije, poput sakrivanja ikone nakon instalacije ili traženja previše dozvola u odnosu na zadatke koje aplikacija treba da obavlja.

Trojanac u aplikacijama je takozvani “clicker” trojanac - vrsta zlonamernog softvera koji ostaje aktivan u memoriji zaraženih uređaja i u pozadini izvršava različite zadatke vezane za prevaru sa oglasima, poput otvaranja web stranica bez znanja žrtve.

Trojanca su istraživači Doctor Weba nazvali Android.Click.312.origin.

Android.Click.312.origin se aktivira tek 8 sati nakon pokretanja aplikacija koje ga sadrže kako ne bi bio otkriven.

Tokom analize ovog trojanca, istraživači Doctor Weba otkrili su još jednu verziju malvera, koja je nazvana Android.Click.313.origin.

Nakon pokretanja na kompromitovanom Android uređaju, malver počinje da prikuplja informacije kao što su:

• verzija OS,

• proizvođač i model uređaja,

• zemlja prebivališta korisnika,

• vrsta internet veze,

• vremenska zona korisnika,

• i informacije o aplikaciji sa trojanskim modulom;

Sve ove informacije ali i druge, pakuju se i šalju na server za komandu i kontrolu malvera (C2), koji će odgovoriti komandama i novim modulima koji će se koristiti, na primer, za nadgledanje instalacije i ažuriranja aplikacija.

Kada korisnik instalira novu aplikaciju na zaraženi uređaj, trojanac će poslati informacije i tehničke podatke o uređaju i novoinstaliranoj aplikaciji na svoj C2 server koji vraća URL-ove za otvaranje u pregledaču , nevidljivom WebView ili u Play Storeu.

"U zavisnosti od postavki komandno-kontrolnog servera i instrukcija koje šalje, trojanac ne samo da može da reklamira aplikacije na Google Play, već i krišom učitava web sajtove, uključujući reklame (čak i videe) ili drugi sumnjiv sadržaj", kažu istraživači.

Neki korisnici su prijavili u Google Play prodavnici da su „automatski pretplaćeni na skupe usluge provajdera sadržaja“ nakon što su instalirali aplikacije koje sadrže Android.Click.312.origin.

Istraživači Doctor Weba prijavili su Googleu aplikacije u kojima je pronađen trojanac. Evo o kojim aplikacijama je reč:

GPS Fix

QR Code Reader

ai.type Free Emoji Keyboard

Cricket Mazza Live Line

English Urdu Dictionary Offline - Learn English

EMI Calculator - Loan & Finance Planner

Pedometer Step Counter - Fitness Tracker

Route Finder

PDF Viewer - EBook Reader

GPS Speedometer

GPS Speedometer PRO

Notepad - Text Editor

Notepad - Text Editor PRO

Who unfriended me?

Who deleted me?

GPS Route Finder & Transit: Maps Navigation Live

Muslim Prayer Times & Qibla Compass

Qibla Compass - Prayer Times, Quran, Kalma, Azan

Full Quran MP3 - 50+ Audio Translation & Languages

Al Quran Mp3 - 50 Reciters & Translation Audio

Prayer Times: Azan, Quran, Qibla Compass

Ramadan Times: Muslim Prayers, Duas, Azan & Qibla

OK Google Voice Commands (Guide)

Sikh World - Nitnem & Live Gurbani Radio

1300 Math Formulas Mega Pack

Обществознание - школьный курс. ЕГЭ и ОГЭ (Social Sciences - School Curriculum. State Uniform Examinations, Basic State Examinations.)

Bombuj - Filmy a seriály zadarmo

Video to MP3 Converter, RINGTONE Maker, MP3 Cutter

Power VPN Free VPN

Earth Live Cam - Public Webcams Online

QR & Barcode Scanner

Remove Object from Photo - Unwanted Object Remover

Cover art IRCTC Train PNR Status, NTES Rail Running Status

Google je uklonio nekoliko prijavljenih aplikacija, dok je jedan broj njih ažuriran čime je uklonjen zlonamerni modul.

Istraživački tim Doctor Weba savetovao je programerima da „odgovorno biraju module za unovčavanje svojih aplikacija i ne integrišu sumnjive SDK-ove u svoj softver“.

Više detalja o ovom trojancu možete naći na sajtu Doctor Weba.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Googleovi istraživači upozoravaju na opasne ranjivosti Samsungovih telefona koje hakeri mogu daljinski i neprimetno hakovati

Googleovi istraživači upozoravaju na opasne ranjivosti Samsungovih telefona koje hakeri mogu daljinski i neprimetno hakovati

Project Zero, Googleov tim koji se bavi bezbednosnim istraživanjima, otkrio je ranjivosti u Samsung modemima za uređaje poput Pixel 6, Pixel 7 i Gal... Dalje

Zašto bi umesto dvofaktorne autentifikacije sa SMS-om trebalo da koristite pouzdanu aplikaciju

Zašto bi umesto dvofaktorne autentifikacije sa SMS-om trebalo da koristite pouzdanu aplikaciju

Dvofaktorska autentifikacija (2FA) postala je imperativ u današnjem digitalnom svetu, pošto su kriminalci naučili da kompromituju skoro svaku lozin... Dalje

Bankovni trojanac za Android Xenomorph se vratio sa novom verzijom, i sada je opasniji nego ikada pre

Bankovni trojanac za Android Xenomorph se vratio sa novom verzijom, i sada je opasniji nego ikada pre

Istraživači holandske kompanije ThreatFabric primetili su novu verziju bankovnog trojanca za Android Xenomorph, koju su njeni tvorci, Hadoken Securi... Dalje

Aplikacija kineskog modnog brenda Shein uhvaćena kako na Androidu radi nešto što ne bi smela

Aplikacija kineskog modnog brenda Shein uhvaćena kako na Androidu radi nešto što ne bi smela

Shein, kineski modni brend, ponovo se našao pod lupom, nakon što je otkriveno da stara verzija njegove mobilne aplikacije povremeno pristupa sadrža... Dalje

Sumnjive aplikacije za autentifikaciju preplavile Apple App Store i Google Play

Sumnjive aplikacije za autentifikaciju preplavile Apple App Store i Google Play

Istraživači bezbednosti upozorili su na talas upitnih aplikacija za autentifikaciju koje su preplavile Apple App Store i Google Play nakon nedavne n... Dalje