Android malveri otkriveni u Google Play prodavnici

Mobilni telefoni, 31.10.2022, 01:00 AM

Android malveri otkriveni u Google Play prodavnici

U Google Play prodavnici otkriveno je pet aplikacija koje na uređaje korisnika instaliraju bankarske trojance sakrivene u ažuriranjima aplikacija.

Ove aplikacije (“dropper”) su specifične po tome što ne sadrže zlonamerni kod tako da lakše prolaze skenere Google Play prodavnice. Takve aplikacije nisu sumnjive ni korisnicima jer rade ono zbog čega su ih preuzeli, dok se ono čemu zapravo služe odvija iza scene.

Istraživači iz Threat Fabrica, koji su otkrili ove droppere, primetili su povećanu upotrebu ove vrste zlonamernih aplikacija u distribuciji malvera za Android upravo zato što oni omogućavaju nevidljivo inficiranje uređaja.

Ovo je važno s obzirom na sve veća ograničenja i zaštitne mere koje se uvode sa svakom novom verzijom Androida, koje sprečavaju malvere da zloupotrebljavaju dozvole, preuzimaju zlonamerne module ili zloupotrebljavaju uslugu pristupačnosti.

Prva kampanja koju je primetio Threat Fabric početkom oktobra, inficira uređaje bankarskim trojancem SharkBot. SharkBot je malver za Android koji može da ukrade podatke za prijavu preko lažnih zahteva za prijavu koji prekrivaju legitimne obrasce za prijavu na veb sajtove. SharkBot funkcioniše i kao keylogger, a može i da krade i sakriva SMS poruke i preuzme daljinsku kontrolu nad mobilnim uređajem.

Istraživači su otkrili dve naizgled bezopasne dropper aplikacije, “Codice Fiscale 2022” i “File Manager Small, Lite”, koje se koriste za instaliranje SharkBota na mobilne uređaje žrtava.

Prva aplikacija, “Codice Fiscale 2022” predstavlja se kao alat za izračunavanje poreza u Italiji i preuzeta je 10.000 puta. Kada korisnik instalira aplikaciju, ona će zatražiti da preuzme lažno ažuriranje, koje instalira malver SharkBot na uređaj.

Da bi instalirao dodatne Android pakete sa udaljenog servera, Google zahteva od aplikacija da zahtevaju „REQUEST_INSTALL_PACKAGES“. Međutim, novije verzije Androida upozoravaju na opasnosti ove dozvole, što otežava ubeđivanje korisnika da instaliraju „ažuriranje“.

Zbog toga, aplikacija otvara veb stranicu koja izgleda kao stranica Google Play prodavnice, sa ciljem da ubedi korisnika da dodirne dugme „Ažuriraj“ u pregledaču i tako zaobilazi potrebu za ovom dozvolom.

Aplikacija File Manager širi SharkBot izvan granica Italije, jer je konfigurisana za učitavanje stranica za prekrivanje obrazaca za prijavu za banke u Italiji, Velikoj Britaniji, Nemačkoj, Španiji, Poljskoj, Austriji, Australiji i Sjedinjenim Državama. File Manager nije slučajan izbor, jer su aplikacije za upravljanje fajlovima kategorija aplikacija kojima je dozvoljeno da imaju pomenutu dozvolu.

Cilj druge kampanje koja koristi dropper aplikacije je širenje malvera Vultur koji je takođe bankarski trojanac kojim upravlja grupa poznata pod imenom „Projekat Brunhilda“.

Vultur svojim operaterima omogućava strimovanje ekrana i keylogging za društvene mreže i aplikacije za slanje poruka. Verzija Vultura koja se koristi u ovoj kampanji može da snima klikove, pokrete i sve radnje koje je žrtva obavila na uređaju.

Istraživači Threat Fabrica veruju da su programeri malvera dodali ovu funkciju da bi zaobišli bezbednosna ograničenja na Androidu, koja sprečavaju da se sadržaj određenih prozora aplikacija pojavljuje na snimcima ekrana ili screencastovima.

Aplikacije koje distribuiraju Vultur su “Recover Audio, Images & Videos” (100.000 preuzimanja), “Zetter Authentication” (10.000 preuzimanja) i “My Finances Tracker” (1000 preuzimanja).

Kao i SharkBot dropperi, ovi dropperi takođe prikazuju zahtev za instaliranje lažnog ažuriranja, ovog puta maskiranog u Google Play obaveštenje. Ako korisnik dozvoli da se ažuriranje instalira, ono će preuzeti i instalirati Vultur.

Threat Fabric očekuje dalji rast primene ovakvih aplikacija jer je to najlagodniji način da se dođe do šire publike a da se ne izazove sumnja. Jedina mana ovakvih malvera je potreba da se žrtve uključe u bar jednu radnju, jer moraju ručno da pristanu na instalaciju malvera.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi Android malver krade bankarske podatke i zaobilazi 2FA zaštitu

Novi Android malver krade bankarske podatke i zaobilazi 2FA zaštitu

Bezbednosni istraživači otkrili su novi Android špijunski malver pod nazivom RedWing, koji se putem Telegrama iznajmljuje sajber kriminalcima kroz ... Dalje

Rokarolla: dok prazni račune, novi trojanac blokira upozorenja banaka o sumnjivim transakcijama

Rokarolla: dok prazni račune, novi trojanac blokira upozorenja banaka o sumnjivim transakcijama

Istraživači kompanije Zimperium otkrili su novog Android bankarskog trojanca nazvanog Rokarolla koji, pored krađe podataka i novca, pokušava da ž... Dalje

Google uvodi plavi indikator za aplikacije koje koriste lokaciju, mišljenja korisnika podeljena

Google uvodi plavi indikator za aplikacije koje koriste lokaciju, mišljenja korisnika podeljena

Google uvodi novu funkciju privatnosti za Android uređaje koja korisnike obaveštava kada neka aplikacija koristi podatke o njihovoj lokaciji. Nova f... Dalje

WhatsApp otkrio nove pokušaje širenja Pegaza i traži sankcije protiv NSO Group

WhatsApp otkrio nove pokušaje širenja Pegaza i traži sankcije protiv NSO Group

WhatsApp je otkrio i zaustavio nove pokušaje isporuke špijunskog softvera povezane sa izraelskom kompanijom NSO Group, poznatom po razvoju špijunsk... Dalje

MagicAd zatrpava Android uređaje reklamama i nakon zatvaranja zaraženih aplikacija

MagicAd zatrpava Android uređaje reklamama i nakon zatvaranja zaraženih aplikacija

Istraživači kompanije Dr.Web otkrili su Android trojanca nazvanog MagicAd koji prikazuje reklame na zaraženim uređajima čak i nakon što korisnik... Dalje