Android malveri otkriveni u Google Play prodavnici

Mobilni telefoni, 31.10.2022, 01:00 AM

Android malveri otkriveni u Google Play prodavnici

U Google Play prodavnici otkriveno je pet aplikacija koje na uređaje korisnika instaliraju bankarske trojance sakrivene u ažuriranjima aplikacija.

Ove aplikacije (“dropper”) su specifične po tome što ne sadrže zlonamerni kod tako da lakše prolaze skenere Google Play prodavnice. Takve aplikacije nisu sumnjive ni korisnicima jer rade ono zbog čega su ih preuzeli, dok se ono čemu zapravo služe odvija iza scene.

Istraživači iz Threat Fabrica, koji su otkrili ove droppere, primetili su povećanu upotrebu ove vrste zlonamernih aplikacija u distribuciji malvera za Android upravo zato što oni omogućavaju nevidljivo inficiranje uređaja.

Ovo je važno s obzirom na sve veća ograničenja i zaštitne mere koje se uvode sa svakom novom verzijom Androida, koje sprečavaju malvere da zloupotrebljavaju dozvole, preuzimaju zlonamerne module ili zloupotrebljavaju uslugu pristupačnosti.

Prva kampanja koju je primetio Threat Fabric početkom oktobra, inficira uređaje bankarskim trojancem SharkBot. SharkBot je malver za Android koji može da ukrade podatke za prijavu preko lažnih zahteva za prijavu koji prekrivaju legitimne obrasce za prijavu na veb sajtove. SharkBot funkcioniše i kao keylogger, a može i da krade i sakriva SMS poruke i preuzme daljinsku kontrolu nad mobilnim uređajem.

Istraživači su otkrili dve naizgled bezopasne dropper aplikacije, “Codice Fiscale 2022” i “File Manager Small, Lite”, koje se koriste za instaliranje SharkBota na mobilne uređaje žrtava.

Prva aplikacija, “Codice Fiscale 2022” predstavlja se kao alat za izračunavanje poreza u Italiji i preuzeta je 10.000 puta. Kada korisnik instalira aplikaciju, ona će zatražiti da preuzme lažno ažuriranje, koje instalira malver SharkBot na uređaj.

Da bi instalirao dodatne Android pakete sa udaljenog servera, Google zahteva od aplikacija da zahtevaju „REQUEST_INSTALL_PACKAGES“. Međutim, novije verzije Androida upozoravaju na opasnosti ove dozvole, što otežava ubeđivanje korisnika da instaliraju „ažuriranje“.

Zbog toga, aplikacija otvara veb stranicu koja izgleda kao stranica Google Play prodavnice, sa ciljem da ubedi korisnika da dodirne dugme „Ažuriraj“ u pregledaču i tako zaobilazi potrebu za ovom dozvolom.

Aplikacija File Manager širi SharkBot izvan granica Italije, jer je konfigurisana za učitavanje stranica za prekrivanje obrazaca za prijavu za banke u Italiji, Velikoj Britaniji, Nemačkoj, Španiji, Poljskoj, Austriji, Australiji i Sjedinjenim Državama. File Manager nije slučajan izbor, jer su aplikacije za upravljanje fajlovima kategorija aplikacija kojima je dozvoljeno da imaju pomenutu dozvolu.

Cilj druge kampanje koja koristi dropper aplikacije je širenje malvera Vultur koji je takođe bankarski trojanac kojim upravlja grupa poznata pod imenom „Projekat Brunhilda“.

Vultur svojim operaterima omogućava strimovanje ekrana i keylogging za društvene mreže i aplikacije za slanje poruka. Verzija Vultura koja se koristi u ovoj kampanji može da snima klikove, pokrete i sve radnje koje je žrtva obavila na uređaju.

Istraživači Threat Fabrica veruju da su programeri malvera dodali ovu funkciju da bi zaobišli bezbednosna ograničenja na Androidu, koja sprečavaju da se sadržaj određenih prozora aplikacija pojavljuje na snimcima ekrana ili screencastovima.

Aplikacije koje distribuiraju Vultur su “Recover Audio, Images & Videos” (100.000 preuzimanja), “Zetter Authentication” (10.000 preuzimanja) i “My Finances Tracker” (1000 preuzimanja).

Kao i SharkBot dropperi, ovi dropperi takođe prikazuju zahtev za instaliranje lažnog ažuriranja, ovog puta maskiranog u Google Play obaveštenje. Ako korisnik dozvoli da se ažuriranje instalira, ono će preuzeti i instalirati Vultur.

Threat Fabric očekuje dalji rast primene ovakvih aplikacija jer je to najlagodniji način da se dođe do šire publike a da se ne izazove sumnja. Jedina mana ovakvih malvera je potreba da se žrtve uključe u bar jednu radnju, jer moraju ručno da pristanu na instalaciju malvera.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažna aplikacija sa Google Play koristi zaražene uređaje za kreiranje lažnih Facebook, Google i WhatsApp naloga

Lažna aplikacija sa Google Play koristi zaražene uređaje za kreiranje lažnih Facebook, Google i WhatsApp naloga

Zlonamerna Android SMS aplikacija otkrivena u Google Play prodavnici krišom prikuplja poruke sa OTP (jednokratnim) lozinkama koje se koriste za kreir... Dalje

Na Google Play otkrivene aplikacije koje inficiraju Android telefone opasnim bankarskim trojancem

Na Google Play otkrivene aplikacije koje inficiraju Android telefone opasnim bankarskim trojancem

U zvaničnoj Googleovoj prodavnici aplikacija za Android otkrivene su aplikacije koje su predstavljene kao fajl menadžeri, a koje zapravo inficiraju ... Dalje

Android ima grešku zbog koje neko sa fizičkim pristupom vašem uređaju može zaobići zaštitu zaključanog ekrana

Android ima grešku zbog koje neko sa fizičkim pristupom vašem uređaju može zaobići zaštitu zaključanog ekrana

Istraživač sajber bezbednosti David Šuc slučajno je otkrio način da zaobiđe zaštitu zaključanog ekrana na potpuno ažuriranim pametnim telefon... Dalje

Dve aplikacije sa Google Play inficirale uređaje bankarskim trojancem

Dve aplikacije sa Google Play inficirale uređaje bankarskim trojancem

Google je uklonio dve nove dropper aplikacije koje su otkrivene u Play prodavnici aplikacija za Android, od kojih je jedna distribuirala bankarski mal... Dalje

Put jednog Android malvera: Od bezazlene aplikacije u Google Play prodavnici do bankarske prevare

Put jednog Android malvera: Od bezazlene aplikacije u Google Play prodavnici do bankarske prevare

Bankarski trojanac za Android Vultur, dostigao je ukupno više od 100.000 preuzimanja u Google Play prodavnici, navodi se u novom izveštaju stručnja... Dalje