Kako malveri u aplikacijama prolaze bezbednosne provere Google Play prodavnice

Mobilni telefoni, 07.08.2023, 10:00 AM

Kako malveri u aplikacijama prolaze bezbednosne provere Google Play prodavnice

Googleov tim za bezbednost objasnio je taktiku koja se zove verzionisanje, koju sajber kriminalci često koriste da bi malverima inficirali Android uređaje pošto njihove aplikacije prođu proces pregleda i bezbednosne kontrole Google Play prodavnice.

Iako verzionisanje nije nova tehnika, teško ju je otkriti. Ona podrazumeva infekciju putem ažuriranja već instaliranih aplikacija ili učitavanje malvera sa servera pod kontrolom napadača (dinamičko učitavanje koda, DCL), koje aplikaciju paktično pretvara u backdoor.

„Jedan od načina na koji zlonamerni akteri pokušavaju da zaobiđu bezbednosne kontrole Google Play prodavnice je verzionisanje“, kaže kompanija u ovogodišnjem izveštaju o trendovima pretnji.„Verzionisanje se dešava kada programer objavi početnu verziju aplikacije u Google Play prodavnici koja se čini legitimnom i prođe naše provere, ali kasnije [aplikacija] dobije ažuriranje sa servera koje menja kod na uređaju krajnjeg korisnika koji omogućava zlonamerne aktivnosti.“

Kriminalci koji koriste ovu tehniku obično ciljaju na korisničke akreditive, podatke i finansije.

Google kaže da sve aplikacije i zakrpe koje se podnose prolaze kroz rigorozni PHA (potencijalno štetna aplikacija) skrining, ali „neke od tih kontrola“ se zaobilaze sa DCL.

Googleov tim je objasnio da aplikacije za koje se utvrdi da to rade krše politiku Google Play prodavnice o obmanjujućem ponašanju i mogu biti označene kao backdoor. Prema smernicama Centra za politiku Play prodavnice, aplikacijama koje se distribuiraju preko Google Play izričito je zabranjeno da se menjaju, zamenjuju ili ažuriraju na bilo koji drugi način osim putem zvaničnog mehanizma ažuriranja koji obezbeđuje Google Play. Pored toga, aplikacijama je strogo zabranjeno da preuzimaju izvršni kod (kao što su dex, JAR ili .so file) iz spoljnih izvora u zvaničnu prodavnicu Android aplikacija.

U maju je ESET otkrio aplikaciju za snimanje ekrana pod nazivom „iRecorder - Screen Recorder“ koja je bila bezopasna skoro godinu dana nakon što je prvi put objavljena na Google Play, da bi posle godinu dana aplikacija bila izmenjena na način da omogući špijuniranje korisnika.

Primer koji je naveo Googleov tim je malver SharkBot, koju je otkriven u oktobru 2021. SharkBot je poznat po tome što koristi DCL metod, zahvaljujući kome se više puta pojavljivao u Play prodavnici maskiran u bezazlene aplikacije. SharkBot je bankarski malver koji vrši neovlašćene transfere novca sa kompromitovanih uređaja koristeći protokol Automated Transfer Service (ATS). Da bi izbegli otkrivanje, distributeri SharkBota primenjuju sada uobičajenu strategiju objavljivanja verzija sa ograničenom funkcionalnošću na Google Play, čime prikrivaju sumnjivu prirodu aplikacija. Međutim, kada korisnik preuzme trojanizovanu aplikaciju, on preuzima i punu verziju malvera.

Sharkbot se distibuira kamufliran kao antivirusni softver i razni sistemski programi. Do sada je zarazio hiljade korisnika putem aplikacija koje su prošle provere u Google Play prodavnici.

ThreatFabric je nedavno otkrio da distributeri malvera iskorišćavaju grešku u Androidu kako bi zlonamerne aplikacije predstavili kao benigne tako što menjaju komponente aplikacije tako da aplikacija kao celina ostaje validna.

Sajber kriminalci mogu da imaju nekoliko aplikacija objavljenih u prodavnici istovremeno pod različitim nalozima programera, međutim, samo se jedna ponaša kao zlonamerna, dok je druga rezervna kopija koja se koristi nakon uklanjanja prve“, objasnili su stručnjaci ThreatFabrica. „Takva taktika pomaže akterima da održavaju veoma duge kampanje, minimizirajući vreme potrebno za objavljivanje još jednog droppera i nastavak kampanje distribucije.“

Da bi se umanjili potencijalni rizici, preporuka je da se korisnici Androida drže pouzdanih izvora za preuzimanje aplikacija i da omoguće Google Play Protect da bi dobijali obaveštenja kada se na uređaju pronađe potencijalno štetna aplikacija (PHA).

Foto: Denny Müller / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nove verzije Android bankarskog trojanca Medusa šire se po svetu

Nove verzije Android bankarskog trojanca Medusa šire se po svetu

Bankarski trojanac za Android pod nazivom Medusa ponovo se pojavio nakon skoro godinu dana. On se trenutno koristi za napade na uređaje korisnika u K... Dalje

Opasni trojanac Rafel RAT inficira i zaključava starije Android telefone

Opasni trojanac Rafel RAT inficira i zaključava starije Android telefone

Sve više hakerskih grupa koristi moćnog trojanca za Android otvorenog koda pod nazivom „Rafel RAT“ za napade na starije uređaje. Neki o... Dalje

Isključujete li nekad svoj pametni telefon? Evo zašto bi to trebalo raditi barem jednom nedeljno

Isključujete li nekad svoj pametni telefon? Evo zašto bi to trebalo raditi barem jednom nedeljno

Isključujete li nekad svoj telefon? Ako je odgovor ne, trebalo bi da promenite to i bar jednom nedeljno isključite i uključite telefon. Ovo je samo... Dalje

Bankarski trojanac Anatsa (Teabot) ponovo pronađen u aplikacijama u Google Play prodavnici

Bankarski trojanac Anatsa (Teabot) ponovo pronađen u aplikacijama u Google Play prodavnici

Istraživači iz kompanije Zscaler pronašli su više od 90 Android aplikacija instaliranih više od 5,5 miliona puta preko Google Play, koje su uređ... Dalje

Novi Android bankovni trojanac Antidot se predstavlja kao aplikacija za ažuriranje Google Play-a

Novi Android bankovni trojanac Antidot se predstavlja kao aplikacija za ažuriranje Google Play-a

Istraživači bezbednosti iz Cyble Research and Intelligence Labs (CRIL) otkrili su novog bankarskog trojanca koji cilja Android uređaje. U izveštaj... Dalje