Dropperi su krivci za malvere u Google Play prodavnici

Mobilni telefoni, 23.07.2018, 08:30 AM

Dropperi su krivci za malvere u Google Play prodavnici

Tokom protekle godine, autori malvera za Android su se sve više koristili taktiku kojom su zaobilazili Googleova sigurnosna skeniranja i plasirali zlonamerne aplikacije u zvaničnu Play prodavnicu. Ova taktika se oslanja na tehniku koja je prilično česta u svetu desktop malvera, a koja je tek prošle godine postala popularna u Android ekosistemu.

Ova tehnika podrazumeva korišćenje "droppera", što podrazumeva dvostepeni ili višestepeni proces infekcije u kojem je malver prve faze često relativno jednostavna pretnja ograničenih mogućnosti, a njegova glavna uloga je da stekne uporište na uređaju kako bi se mogle preuzeti mnogo moćnije pretnje.

U desktop okruženjima dropperi nisu naročito efikasni, pošto je na tim uređajima praksa korišćenja antivirusa široko rasprostranjena, a antivirusni softver otkriva ove pretnje, kao i one koje se kasnije preuzimaju u drugoj fazi infekcije. Međutim, ova taktika je prilično efikasna u mobilnom okruženju. To je zato što većina korisnika mobilnih telefona ne koristi antivirus, tako da na uređajima nema skenera koji bi mogli da otkriju malvere prve faze.

To znači da su jedine sigurnosne mere koje se primenjuju Googleovi skeneri koji proveravaju aplikacije pre nego što im se odobri prisustvo u Play prodavnici.

Autori malvera su u proteklih nekoliko godina shvatili da je Googleu veoma teško da otkrije "droppere" koji su skriveni u legitimnim aplikacijama. Tokom proteklih godina, sve više autora Android malvera počelo je da deli svoj zlonamerni kod u dva malvera - droppera i pravog malvera.

Razlog je taj što dropperi zahtevaju manji broj dozvola i i njihovo ponašanje je takvo da se ne prepoznaje kao zlonamerno. Pored toga, dodavanje tajmera koji odlažu izvršenje zlonamernog koda na nekoliko sati, takođe pomaže da zlonamerni softver ostane neotkriven tokom Googleovog skeniranja.

Ovi jednostavni trikovi omogućavaju dropperima da se ušunjaju u prodavnicu Play skriveni u svim vrstama aplikacija, svrstanih u brojne kategorije.

Kada korisnici pokrenu aplikacije, koji u većini slučajeva rade ono što tvrde da rade, zlonamerni kod se izvršava, dropperi traže dozvole, a ako ih dobiju, onda preuzimaju potentnije malvere.

Ovu taktiku uglavnom su koristili autori malvera koji šire verzije Exobota, LokiBota i BankBot mobilnog bankarskog trojanca, ali su je u međuvremenu usvojili i mnogi drugi.

Istraživači iz ThreatFabrica su se cele prošle godine i početkom ove bavili ovim trendom povećane upotrebe, popularnosti i efikasnosti dropper aplikacija u Play prodavnici, opisujući napade u kojima su korišćeni Android bankarski malveri kao što je BankBot (Anubis I), BankBot (Anubis II), Red Alert 2.0/2.1, LokiBot, i Exobot.

Sada je IBM X-Force objavio izveštaj o nedavnoj kampanji širenja Anubis II malvera, jedne od najnovijih verzija BankBota. Novi trend korišćenja sličnih dropper malvera (koji se nazivaju i malveri downloaderi) navelo je stručnjake IBM-a da zaključe da neke grupe sajber kriminalaca sada rukovode "downloader-as-a-service" (DaaS) uslugama, i iznajmljuju "prostor za instalaciju" na svojim dropper aplikacijama za nekoliko drugih grupa. To objašnjava zašto većina droppera izgleda isto, a ponekad i distribuira širok spektar različitih malvera, a ne samo jedan malver. Ovo je rezultiralo novim poslovnim modelom gde se instalacije u Google Play se prodaju vlasnicima malvera.

To i nije toliko iznenađenje jer se upravo to dešava i na tržištu desktop malvera gde je rentiranje droppera drugim kriminalnim grupama mnogo unosniji posao nego pokretanje sopstvenog bankarskog trojanca.

Na primer, ove nedelje Symantec je objavio izveštaj u kome se ističe kako se zloglasni i veoma opasni Emotet bankarski trojanski polako pretvorio u dropper i sada distribuira druge bankarske trojance kojima je nekada bio konkurencija.

Sve veći broj zlonamernih Android aplikacija je jedan od razloga zbog kojih je Google pokrenuo uslugu Play Protect, sigurnosnu funkciju ugrađenu u zvaničnu Play Store aplikaciju koja neprestano skenira lokalno instalirane aplikacije kako bi se otkrilo zlonamerno ponašanje i zlonamerne izmene u lokalnim aplikacijama koje nisu otkrivene tokom procesa odobravanja aplikacija od strane Play prodavnice.

Google nije u prednosti, barem za sada jer je teško otkriti dropper aplikacije. Nema sumnje da će autori malvera uložiti puno truda da te aplikacije i dalje ostanu neprimećene.

Na primer, maliciozni kod dropper aplikacija postaje aktivan samo kada dobije komandu sa komandno-kontrolnog servera, što znači da će bez određenih akcija ponašanje aplikacije izgledati benigno.

Ovakve tehnike izgledaju jednostavno, ali ih je teško reprodukovati i detektovati u okruženjima automatizovanog testiranja. Google bi morao da uključi dodatne indikatore zlonamerne aktivnosti prilikom obavljanja skeniranja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje