Android malveri otkriveni u Google Play prodavnici

Mobilni telefoni, 31.10.2022, 01:00 AM

Android malveri otkriveni u Google Play prodavnici

U Google Play prodavnici otkriveno je pet aplikacija koje na uređaje korisnika instaliraju bankarske trojance sakrivene u ažuriranjima aplikacija.

Ove aplikacije (“dropper”) su specifične po tome što ne sadrže zlonamerni kod tako da lakše prolaze skenere Google Play prodavnice. Takve aplikacije nisu sumnjive ni korisnicima jer rade ono zbog čega su ih preuzeli, dok se ono čemu zapravo služe odvija iza scene.

Istraživači iz Threat Fabrica, koji su otkrili ove droppere, primetili su povećanu upotrebu ove vrste zlonamernih aplikacija u distribuciji malvera za Android upravo zato što oni omogućavaju nevidljivo inficiranje uređaja.

Ovo je važno s obzirom na sve veća ograničenja i zaštitne mere koje se uvode sa svakom novom verzijom Androida, koje sprečavaju malvere da zloupotrebljavaju dozvole, preuzimaju zlonamerne module ili zloupotrebljavaju uslugu pristupačnosti.

Prva kampanja koju je primetio Threat Fabric početkom oktobra, inficira uređaje bankarskim trojancem SharkBot. SharkBot je malver za Android koji može da ukrade podatke za prijavu preko lažnih zahteva za prijavu koji prekrivaju legitimne obrasce za prijavu na veb sajtove. SharkBot funkcioniše i kao keylogger, a može i da krade i sakriva SMS poruke i preuzme daljinsku kontrolu nad mobilnim uređajem.

Istraživači su otkrili dve naizgled bezopasne dropper aplikacije, “Codice Fiscale 2022” i “File Manager Small, Lite”, koje se koriste za instaliranje SharkBota na mobilne uređaje žrtava.

Prva aplikacija, “Codice Fiscale 2022” predstavlja se kao alat za izračunavanje poreza u Italiji i preuzeta je 10.000 puta. Kada korisnik instalira aplikaciju, ona će zatražiti da preuzme lažno ažuriranje, koje instalira malver SharkBot na uređaj.

Da bi instalirao dodatne Android pakete sa udaljenog servera, Google zahteva od aplikacija da zahtevaju „REQUEST_INSTALL_PACKAGES“. Međutim, novije verzije Androida upozoravaju na opasnosti ove dozvole, što otežava ubeđivanje korisnika da instaliraju „ažuriranje“.

Zbog toga, aplikacija otvara veb stranicu koja izgleda kao stranica Google Play prodavnice, sa ciljem da ubedi korisnika da dodirne dugme „Ažuriraj“ u pregledaču i tako zaobilazi potrebu za ovom dozvolom.

Aplikacija File Manager širi SharkBot izvan granica Italije, jer je konfigurisana za učitavanje stranica za prekrivanje obrazaca za prijavu za banke u Italiji, Velikoj Britaniji, Nemačkoj, Španiji, Poljskoj, Austriji, Australiji i Sjedinjenim Državama. File Manager nije slučajan izbor, jer su aplikacije za upravljanje fajlovima kategorija aplikacija kojima je dozvoljeno da imaju pomenutu dozvolu.

Cilj druge kampanje koja koristi dropper aplikacije je širenje malvera Vultur koji je takođe bankarski trojanac kojim upravlja grupa poznata pod imenom „Projekat Brunhilda“.

Vultur svojim operaterima omogućava strimovanje ekrana i keylogging za društvene mreže i aplikacije za slanje poruka. Verzija Vultura koja se koristi u ovoj kampanji može da snima klikove, pokrete i sve radnje koje je žrtva obavila na uređaju.

Istraživači Threat Fabrica veruju da su programeri malvera dodali ovu funkciju da bi zaobišli bezbednosna ograničenja na Androidu, koja sprečavaju da se sadržaj određenih prozora aplikacija pojavljuje na snimcima ekrana ili screencastovima.

Aplikacije koje distribuiraju Vultur su “Recover Audio, Images & Videos” (100.000 preuzimanja), “Zetter Authentication” (10.000 preuzimanja) i “My Finances Tracker” (1000 preuzimanja).

Kao i SharkBot dropperi, ovi dropperi takođe prikazuju zahtev za instaliranje lažnog ažuriranja, ovog puta maskiranog u Google Play obaveštenje. Ako korisnik dozvoli da se ažuriranje instalira, ono će preuzeti i instalirati Vultur.

Threat Fabric očekuje dalji rast primene ovakvih aplikacija jer je to najlagodniji način da se dođe do šire publike a da se ne izazove sumnja. Jedina mana ovakvih malvera je potreba da se žrtve uključe u bar jednu radnju, jer moraju ručno da pristanu na instalaciju malvera.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi Android bankovni trojanac Antidot se predstavlja kao aplikacija za ažuriranje Google Play-a

Novi Android bankovni trojanac Antidot se predstavlja kao aplikacija za ažuriranje Google Play-a

Istraživači bezbednosti iz Cyble Research and Intelligence Labs (CRIL) otkrili su novog bankarskog trojanca koji cilja Android uređaje. U izveštaj... Dalje

Android dobija zaštitu od krađe podataka za ukradene i izgubljene telefone

Android dobija zaštitu od krađe podataka za ukradene i izgubljene telefone

Google je najavio da uvodi nekoliko funkcija za zaštitu podataka od krađe, od kojih će neke biti dostupne samo za Android 15+ uređaje, dok će dr... Dalje

Google najavio nove funkcije za zaštitu od prevara i malvera na Androidu

Google najavio nove funkcije za zaštitu od prevara i malvera na Androidu

Google je ove nedelje održao godišnju konferenciju za programere, na kojoj je najavio nove bezbednosne funkcije za zaštitu od prevara koje dolaze u... Dalje

Lažne aplikacije Google, Instagram, Snapchat, WhatsApp i X kradu lozinke sa zaraženih telefona

Lažne aplikacije Google, Instagram, Snapchat, WhatsApp i X kradu lozinke sa zaraženih telefona

Android aplikacije koje se predstavljaju kao Google, Instagram, Snapchat, WhatsApp i X, kradu lozinke korisnika sa zaraženih telefona. Istraživači ... Dalje

Google je prošle godine sprečio objavljivanje 2,3 miliona potencijalno opasnih Android aplikacija na Google Play

Google je prošle godine sprečio objavljivanje 2,3 miliona potencijalno opasnih Android aplikacija na Google Play

Google je objavio da je prošle godine blokirao objavljivanje 2,28 miliona Android aplikacija na Google Play zbog toga što su kršile različite smer... Dalje