Aplikacija iz Google Play prodavnice inficira uređaje bankarskim trojancem

Mobilni telefoni, 31.01.2022, 10:00 AM

Aplikacija iz Google Play prodavnice inficira uređaje bankarskim trojancem

Posle više od dve nedelje, koliko je bila dostupna u Googleovoj prodavnici, zlonamerna aplikacija za dvofaktornu autentifikaciju (2FA) je uklonjena iz prodavnice, ali tek pošto je preuzeta i instalirana više od 10.000 puta. Aplikacija, koja je inače potpuno funkcionalna, krije malver Vultur koji krade finansijske podatke.

Istraživači iz firme Pradeo koji su primetili zlonamernu aplikaciju pod nazivom „2FA Authenticator“, savetuju onima koji su je instalirali da je odmah izbrišu sa uređaja jer su i dalje izloženi riziku kako od krađe podataka za prijavljivanje na onlajn bankovni račun, tako i od drugih napada koji su mogući zahvaljujući prekomernim dozvolama aplikacije.

U opisu na stranici aplikacije na Google Play, „2FA Authenticator“ je opisan kao „bezbedni autentifikator za vaše onlajn usluge, koji takođe uključuje neke funkcije koje nedostaju postojećim aplikacijama za potvrdu identiteta, kao što su pravilno šifrovanje i rezervne kopije“.

Nakon preuzimanja, aplikacija instalira bankarskog trojanca Vultur, koji krade finansijske podatke na kompromitovanom uređaju. Prema rečima istraživača, aplikacija za koju su njeni programeri iskoristili otvoreni kod zvanične Aegis aplikacije za autentifikaciju u koju su ubacili zlonamerni kod, ponaša se kao “dropper” za malver Vultur.

Otkriven prošlog marta zahvaljujući istraživačima ThreatFabrica, malver Vultur, trojanac za daljinski pristup (RAT), bio je prvi te vrste koji je koristio keylogging i snimanje ekrana kao svoju primarnu taktiku za krađu bankarskih podataka, omogućavajući sajber kriminalcima da automatizuju proces prikupljanja podataka. Autori malvera su odlučili da se odmaknu od uobičajene strategije preklapanja aplikacija banaka koju obično vidimo kod drugih Android bankarskih trojanaca: ovaj pristup obično zahteva više vremena i truda da bi se ukrale relevantne informacije od korisnika. Umesto toga, Vultur jednostavno snima ono što se prikazuje na ekranu, dobijajući isti krajnji rezultat.

„2FA Authenticator“ takođe traži više dozvola u odnosu na ono što je navedeno u Google Play profilu aplikacije, uključujući pristup kameri i biometriji. Te skrivene privilegije omogućavaju napadačima da urade mnogo više od onoga što omogućavaju standardni bankarski trojanci, kao što je pristup podacima o lokaciji korisnika, tako da napadi mogu biti usmereni na određene regione, zatim, onemogućavanje zaključavanja uređaja i postavljanje lozinke, preuzimanje aplikacija iz nezvaničnih izvora i preuzimanje kontrole nad uređajem, čak i ako se aplikacija ugasi.

Pradeo je otkrio još jedan prljavi trik: dozvola SYSTEM_ALERT_WINDOW aplikaciji daje mogućnost da menja interfejs drugih mobilnih aplikacija. Kao što je sam Google objasnio, „vrlo malo aplikacija bi trebalo da koristi ovu dozvolu jer su ovi prozori namenjeni za interakciju sa korisnikom na nivou sistema.”

Kada je uređaj kompromitovan, aplikacija instalira Vultur, „naprednu i relativno novu vrstu malvera koja uglavnom cilja interfejs za onlajn bankarstvo da bi ukrao korisničke akreditive i druge važne finansijske informacije“, navodi se u izveštaju. Vultur uglavnom cilja evropske banke i novčanike za kriptovalute.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Trojanac ''pretplatnik'' Harly sakriven u naizgled bezazlenim aplikacijama na Google Play

Trojanac ''pretplatnik'' Harly sakriven u naizgled bezazlenim aplikacijama na Google Play

Neretko se razne vrste malvera kriju iza naizgled bezopasnih aplikacija u zvaničnoj Googleovoj Play prodavnici. Iako je platforma pažljivo nadgledan... Dalje

Apple će vam omogućiti da uklonite sigurnosna ažuriranja sa telefona, ali je bolje da to ne radite

Apple će vam omogućiti da uklonite sigurnosna ažuriranja sa telefona, ali je bolje da to ne radite

Apple će omogućiti korisnicima da uklone sigurnosne zakrpe koje je instalirao sistem Rapid Security Response sistem iOS 16, koji može da instalir... Dalje

Ovaj malver više nije samo bankarski trojanac, sada šifruje fajlove na zaraženom mobilnom telefonu

Ovaj malver više nije samo bankarski trojanac, sada šifruje fajlove na zaraženom mobilnom telefonu

SOVA, bankarski trojanac za Android, dobio je nove funkcije, a jedna od njih je da malver sada funkcioniše i kao ransomware koji šifruje fajlove na ... Dalje

Na Google Play pronađeno 35 zlonamernih aplikacija koje je instaliralo 2 miliona korisnika

Na Google Play pronađeno 35 zlonamernih aplikacija koje je instaliralo 2 miliona korisnika

Bitdefender je otkrio 35 zlonamernih aplikacija u Googleovoj Play prodavnici, koje prema javno dostupnim podacima imaju ukupno preko dva miliona preuz... Dalje

Signal upozorio korisnike da su hakeri imali pristup njihovim nalozima

Signal upozorio korisnike da su hakeri imali pristup njihovim nalozima

Signal je objavio da je upozorio 1.900 svojih korisnika da su njihovi nalozi potencijalno otkriveni onome ko je hakovao Twilio i rekao da su napadači... Dalje