Android malveri otkriveni u Google Play prodavnici

Mobilni telefoni, 31.10.2022, 01:00 AM

Android malveri otkriveni u Google Play prodavnici

U Google Play prodavnici otkriveno je pet aplikacija koje na uređaje korisnika instaliraju bankarske trojance sakrivene u ažuriranjima aplikacija.

Ove aplikacije (“dropper”) su specifične po tome što ne sadrže zlonamerni kod tako da lakše prolaze skenere Google Play prodavnice. Takve aplikacije nisu sumnjive ni korisnicima jer rade ono zbog čega su ih preuzeli, dok se ono čemu zapravo služe odvija iza scene.

Istraživači iz Threat Fabrica, koji su otkrili ove droppere, primetili su povećanu upotrebu ove vrste zlonamernih aplikacija u distribuciji malvera za Android upravo zato što oni omogućavaju nevidljivo inficiranje uređaja.

Ovo je važno s obzirom na sve veća ograničenja i zaštitne mere koje se uvode sa svakom novom verzijom Androida, koje sprečavaju malvere da zloupotrebljavaju dozvole, preuzimaju zlonamerne module ili zloupotrebljavaju uslugu pristupačnosti.

Prva kampanja koju je primetio Threat Fabric početkom oktobra, inficira uređaje bankarskim trojancem SharkBot. SharkBot je malver za Android koji može da ukrade podatke za prijavu preko lažnih zahteva za prijavu koji prekrivaju legitimne obrasce za prijavu na veb sajtove. SharkBot funkcioniše i kao keylogger, a može i da krade i sakriva SMS poruke i preuzme daljinsku kontrolu nad mobilnim uređajem.

Istraživači su otkrili dve naizgled bezopasne dropper aplikacije, “Codice Fiscale 2022” i “File Manager Small, Lite”, koje se koriste za instaliranje SharkBota na mobilne uređaje žrtava.

Prva aplikacija, “Codice Fiscale 2022” predstavlja se kao alat za izračunavanje poreza u Italiji i preuzeta je 10.000 puta. Kada korisnik instalira aplikaciju, ona će zatražiti da preuzme lažno ažuriranje, koje instalira malver SharkBot na uređaj.

Da bi instalirao dodatne Android pakete sa udaljenog servera, Google zahteva od aplikacija da zahtevaju „REQUEST_INSTALL_PACKAGES“. Međutim, novije verzije Androida upozoravaju na opasnosti ove dozvole, što otežava ubeđivanje korisnika da instaliraju „ažuriranje“.

Zbog toga, aplikacija otvara veb stranicu koja izgleda kao stranica Google Play prodavnice, sa ciljem da ubedi korisnika da dodirne dugme „Ažuriraj“ u pregledaču i tako zaobilazi potrebu za ovom dozvolom.

Aplikacija File Manager širi SharkBot izvan granica Italije, jer je konfigurisana za učitavanje stranica za prekrivanje obrazaca za prijavu za banke u Italiji, Velikoj Britaniji, Nemačkoj, Španiji, Poljskoj, Austriji, Australiji i Sjedinjenim Državama. File Manager nije slučajan izbor, jer su aplikacije za upravljanje fajlovima kategorija aplikacija kojima je dozvoljeno da imaju pomenutu dozvolu.

Cilj druge kampanje koja koristi dropper aplikacije je širenje malvera Vultur koji je takođe bankarski trojanac kojim upravlja grupa poznata pod imenom „Projekat Brunhilda“.

Vultur svojim operaterima omogućava strimovanje ekrana i keylogging za društvene mreže i aplikacije za slanje poruka. Verzija Vultura koja se koristi u ovoj kampanji može da snima klikove, pokrete i sve radnje koje je žrtva obavila na uređaju.

Istraživači Threat Fabrica veruju da su programeri malvera dodali ovu funkciju da bi zaobišli bezbednosna ograničenja na Androidu, koja sprečavaju da se sadržaj određenih prozora aplikacija pojavljuje na snimcima ekrana ili screencastovima.

Aplikacije koje distribuiraju Vultur su “Recover Audio, Images & Videos” (100.000 preuzimanja), “Zetter Authentication” (10.000 preuzimanja) i “My Finances Tracker” (1000 preuzimanja).

Kao i SharkBot dropperi, ovi dropperi takođe prikazuju zahtev za instaliranje lažnog ažuriranja, ovog puta maskiranog u Google Play obaveštenje. Ako korisnik dozvoli da se ažuriranje instalira, ono će preuzeti i instalirati Vultur.

Threat Fabric očekuje dalji rast primene ovakvih aplikacija jer je to najlagodniji način da se dođe do šire publike a da se ne izazove sumnja. Jedina mana ovakvih malvera je potreba da se žrtve uključe u bar jednu radnju, jer moraju ručno da pristanu na instalaciju malvera.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

U Apple App Store pronađene aplikacije zaražene malverom koji čita tekst sa slika

U Apple App Store pronađene aplikacije zaražene malverom koji čita tekst sa slika

U više iOS aplikacija pronađen je malver „SparkCat“ koji krade kriptovalute, objavila je kompanija Kaspersky. U martu prošle godine, is... Dalje

Kripto prevare u MMS porukama

Kripto prevare u MMS porukama

Stručnjaci za sajber bezbednost iz Proofpointa upozorili su na prevarante koji zloupotrebljavaju MMS poruke (Multimedia Messaging Service) za Bitcoin... Dalje

Google prošle godine blokirao objavljivanje 2,3 miliona potencijalno opasnih aplikacija u Google Play prodavnici

Google prošle godine blokirao objavljivanje 2,3 miliona potencijalno opasnih aplikacija u Google Play prodavnici

Google je prošle godine zbog kršenja smernica i potencijalnog rizika za korisnike blokirao 2,3 miliona Android aplikacija u u zvaničnoj Android pro... Dalje

Google će sada automatski uklanjati dozvole za štetne aplikacije na Android uređajima

Google će sada automatski uklanjati dozvole za  štetne aplikacije na Android uređajima

Googleova usluga skeniranja malvera Play Protect će sada automatski isključiti dozvole za Android aplikaciju ako je potencijalno štetna. Ova funkc... Dalje

Provera identiteta - nova funkcija Androida za zaštitu od krađe

Provera identiteta - nova funkcija Androida za zaštitu od krađe

Google uvodi novu funkciju pod nazivom Identity Check (Provera identiteta) za podržane Android uređaje koja zaključava osetljiva podešavanja iza b... Dalje