Dropperi su krivci za malvere u Google Play prodavnici

Mobilni telefoni, 23.07.2018, 08:30 AM

Dropperi su krivci za malvere u Google Play prodavnici

Tokom protekle godine, autori malvera za Android su se sve više koristili taktiku kojom su zaobilazili Googleova sigurnosna skeniranja i plasirali zlonamerne aplikacije u zvaničnu Play prodavnicu. Ova taktika se oslanja na tehniku koja je prilično česta u svetu desktop malvera, a koja je tek prošle godine postala popularna u Android ekosistemu.

Ova tehnika podrazumeva korišćenje "droppera", što podrazumeva dvostepeni ili višestepeni proces infekcije u kojem je malver prve faze često relativno jednostavna pretnja ograničenih mogućnosti, a njegova glavna uloga je da stekne uporište na uređaju kako bi se mogle preuzeti mnogo moćnije pretnje.

U desktop okruženjima dropperi nisu naročito efikasni, pošto je na tim uređajima praksa korišćenja antivirusa široko rasprostranjena, a antivirusni softver otkriva ove pretnje, kao i one koje se kasnije preuzimaju u drugoj fazi infekcije. Međutim, ova taktika je prilično efikasna u mobilnom okruženju. To je zato što većina korisnika mobilnih telefona ne koristi antivirus, tako da na uređajima nema skenera koji bi mogli da otkriju malvere prve faze.

To znači da su jedine sigurnosne mere koje se primenjuju Googleovi skeneri koji proveravaju aplikacije pre nego što im se odobri prisustvo u Play prodavnici.

Autori malvera su u proteklih nekoliko godina shvatili da je Googleu veoma teško da otkrije "droppere" koji su skriveni u legitimnim aplikacijama. Tokom proteklih godina, sve više autora Android malvera počelo je da deli svoj zlonamerni kod u dva malvera - droppera i pravog malvera.

Razlog je taj što dropperi zahtevaju manji broj dozvola i i njihovo ponašanje je takvo da se ne prepoznaje kao zlonamerno. Pored toga, dodavanje tajmera koji odlažu izvršenje zlonamernog koda na nekoliko sati, takođe pomaže da zlonamerni softver ostane neotkriven tokom Googleovog skeniranja.

Ovi jednostavni trikovi omogućavaju dropperima da se ušunjaju u prodavnicu Play skriveni u svim vrstama aplikacija, svrstanih u brojne kategorije.

Kada korisnici pokrenu aplikacije, koji u većini slučajeva rade ono što tvrde da rade, zlonamerni kod se izvršava, dropperi traže dozvole, a ako ih dobiju, onda preuzimaju potentnije malvere.

Ovu taktiku uglavnom su koristili autori malvera koji šire verzije Exobota, LokiBota i BankBot mobilnog bankarskog trojanca, ali su je u međuvremenu usvojili i mnogi drugi.

Istraživači iz ThreatFabrica su se cele prošle godine i početkom ove bavili ovim trendom povećane upotrebe, popularnosti i efikasnosti dropper aplikacija u Play prodavnici, opisujući napade u kojima su korišćeni Android bankarski malveri kao što je BankBot (Anubis I), BankBot (Anubis II), Red Alert 2.0/2.1, LokiBot, i Exobot.

Sada je IBM X-Force objavio izveštaj o nedavnoj kampanji širenja Anubis II malvera, jedne od najnovijih verzija BankBota. Novi trend korišćenja sličnih dropper malvera (koji se nazivaju i malveri downloaderi) navelo je stručnjake IBM-a da zaključe da neke grupe sajber kriminalaca sada rukovode "downloader-as-a-service" (DaaS) uslugama, i iznajmljuju "prostor za instalaciju" na svojim dropper aplikacijama za nekoliko drugih grupa. To objašnjava zašto većina droppera izgleda isto, a ponekad i distribuira širok spektar različitih malvera, a ne samo jedan malver. Ovo je rezultiralo novim poslovnim modelom gde se instalacije u Google Play se prodaju vlasnicima malvera.

To i nije toliko iznenađenje jer se upravo to dešava i na tržištu desktop malvera gde je rentiranje droppera drugim kriminalnim grupama mnogo unosniji posao nego pokretanje sopstvenog bankarskog trojanca.

Na primer, ove nedelje Symantec je objavio izveštaj u kome se ističe kako se zloglasni i veoma opasni Emotet bankarski trojanski polako pretvorio u dropper i sada distribuira druge bankarske trojance kojima je nekada bio konkurencija.

Sve veći broj zlonamernih Android aplikacija je jedan od razloga zbog kojih je Google pokrenuo uslugu Play Protect, sigurnosnu funkciju ugrađenu u zvaničnu Play Store aplikaciju koja neprestano skenira lokalno instalirane aplikacije kako bi se otkrilo zlonamerno ponašanje i zlonamerne izmene u lokalnim aplikacijama koje nisu otkrivene tokom procesa odobravanja aplikacija od strane Play prodavnice.

Google nije u prednosti, barem za sada jer je teško otkriti dropper aplikacije. Nema sumnje da će autori malvera uložiti puno truda da te aplikacije i dalje ostanu neprimećene.

Na primer, maliciozni kod dropper aplikacija postaje aktivan samo kada dobije komandu sa komandno-kontrolnog servera, što znači da će bez određenih akcija ponašanje aplikacije izgledati benigno.

Ovakve tehnike izgledaju jednostavno, ali ih je teško reprodukovati i detektovati u okruženjima automatizovanog testiranja. Google bi morao da uključi dodatne indikatore zlonamerne aktivnosti prilikom obavljanja skeniranja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google kaže da svakog dana provere 50 milijardi aplikacija da bi zaštitili korisnike od malicioznih aplikacija

Google kaže da svakog dana provere 50 milijardi aplikacija da bi zaštitili korisnike od malicioznih aplikacija

Google je objavio nove podatke koji ilustruju napore kompanije da poveća bezbednost korisnika Androida, otkrivajući da sada mnogo više pažnje po... Dalje

Clipper malver zamenjuje Bitcoin i Ethereum adrese korisnika adresama napadača

Clipper malver zamenjuje Bitcoin i Ethereum adrese korisnika adresama napadača

Još jedan dan, još jedan malver koji ugrožava korisnike Androida koji aplikacije preuzimaju iz Googleove Play prodavnice. Ovog puta istraživači k... Dalje

Opera za Android dobija VPN podršku

Opera za Android dobija VPN podršku

Najnovija beta verzija pregledača Opera za Android donosi ugrađenu VPN funkciju, nakon što je proizvođač ranije predstavio sličnu funkcionalnost... Dalje

Android telefon može biti hakovan dok gledate sliku

Android telefon može biti hakovan dok gledate sliku

Budite oprezni kada na svom pametnom telefonu otvarate sliku koju ste preuzeli sa interneta ili primili preko poruke ili email aplikacije. Samo gledan... Dalje

Korisnici iPhonea sada mogu zaključati WhatsApp pomoću Face ID i Touch ID

Korisnici iPhonea sada mogu zaključati WhatsApp pomoću Face ID i Touch ID

Najnovije ažuriranje WhatsAppa za iOS donosi novu funkciju koja korisnicima omogućava da zaključaju pristup aplikaciji koristeći Touch ID ili Fa... Dalje