Kako malveri u aplikacijama prolaze bezbednosne provere Google Play prodavnice

Mobilni telefoni, 07.08.2023, 10:00 AM

Kako malveri u aplikacijama prolaze bezbednosne provere Google Play prodavnice

Googleov tim za bezbednost objasnio je taktiku koja se zove verzionisanje, koju sajber kriminalci često koriste da bi malverima inficirali Android uređaje pošto njihove aplikacije prođu proces pregleda i bezbednosne kontrole Google Play prodavnice.

Iako verzionisanje nije nova tehnika, teško ju je otkriti. Ona podrazumeva infekciju putem ažuriranja već instaliranih aplikacija ili učitavanje malvera sa servera pod kontrolom napadača (dinamičko učitavanje koda, DCL), koje aplikaciju paktično pretvara u backdoor.

„Jedan od načina na koji zlonamerni akteri pokušavaju da zaobiđu bezbednosne kontrole Google Play prodavnice je verzionisanje“, kaže kompanija u ovogodišnjem izveštaju o trendovima pretnji.„Verzionisanje se dešava kada programer objavi početnu verziju aplikacije u Google Play prodavnici koja se čini legitimnom i prođe naše provere, ali kasnije [aplikacija] dobije ažuriranje sa servera koje menja kod na uređaju krajnjeg korisnika koji omogućava zlonamerne aktivnosti.“

Kriminalci koji koriste ovu tehniku obično ciljaju na korisničke akreditive, podatke i finansije.

Google kaže da sve aplikacije i zakrpe koje se podnose prolaze kroz rigorozni PHA (potencijalno štetna aplikacija) skrining, ali „neke od tih kontrola“ se zaobilaze sa DCL.

Googleov tim je objasnio da aplikacije za koje se utvrdi da to rade krše politiku Google Play prodavnice o obmanjujućem ponašanju i mogu biti označene kao backdoor. Prema smernicama Centra za politiku Play prodavnice, aplikacijama koje se distribuiraju preko Google Play izričito je zabranjeno da se menjaju, zamenjuju ili ažuriraju na bilo koji drugi način osim putem zvaničnog mehanizma ažuriranja koji obezbeđuje Google Play. Pored toga, aplikacijama je strogo zabranjeno da preuzimaju izvršni kod (kao što su dex, JAR ili .so file) iz spoljnih izvora u zvaničnu prodavnicu Android aplikacija.

U maju je ESET otkrio aplikaciju za snimanje ekrana pod nazivom „iRecorder - Screen Recorder“ koja je bila bezopasna skoro godinu dana nakon što je prvi put objavljena na Google Play, da bi posle godinu dana aplikacija bila izmenjena na način da omogući špijuniranje korisnika.

Primer koji je naveo Googleov tim je malver SharkBot, koju je otkriven u oktobru 2021. SharkBot je poznat po tome što koristi DCL metod, zahvaljujući kome se više puta pojavljivao u Play prodavnici maskiran u bezazlene aplikacije. SharkBot je bankarski malver koji vrši neovlašćene transfere novca sa kompromitovanih uređaja koristeći protokol Automated Transfer Service (ATS). Da bi izbegli otkrivanje, distributeri SharkBota primenjuju sada uobičajenu strategiju objavljivanja verzija sa ograničenom funkcionalnošću na Google Play, čime prikrivaju sumnjivu prirodu aplikacija. Međutim, kada korisnik preuzme trojanizovanu aplikaciju, on preuzima i punu verziju malvera.

Sharkbot se distibuira kamufliran kao antivirusni softver i razni sistemski programi. Do sada je zarazio hiljade korisnika putem aplikacija koje su prošle provere u Google Play prodavnici.

ThreatFabric je nedavno otkrio da distributeri malvera iskorišćavaju grešku u Androidu kako bi zlonamerne aplikacije predstavili kao benigne tako što menjaju komponente aplikacije tako da aplikacija kao celina ostaje validna.

Sajber kriminalci mogu da imaju nekoliko aplikacija objavljenih u prodavnici istovremeno pod različitim nalozima programera, međutim, samo se jedna ponaša kao zlonamerna, dok je druga rezervna kopija koja se koristi nakon uklanjanja prve“, objasnili su stručnjaci ThreatFabrica. „Takva taktika pomaže akterima da održavaju veoma duge kampanje, minimizirajući vreme potrebno za objavljivanje još jednog droppera i nastavak kampanje distribucije.“

Da bi se umanjili potencijalni rizici, preporuka je da se korisnici Androida drže pouzdanih izvora za preuzimanje aplikacija i da omoguće Google Play Protect da bi dobijali obaveštenja kada se na uređaju pronađe potencijalno štetna aplikacija (PHA).

Foto: Denny Müller / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Otkriven trojanac u 8 aplikacija na Google Play koje je preuzelo više od 2 miliona korisnika

Otkriven trojanac u 8 aplikacija na Google Play koje je preuzelo više od 2 miliona korisnika

Osam Android aplikacija u Google Play prodavnici, koje su preuzeli milioni korisnika, sadrže trojanca Android.FakeApp koji krade korisničke podatke.... Dalje

Android dobija nove zaštite od telefonskih prevara i malvera

Android dobija nove zaštite od telefonskih prevara i malvera

Google je najavio novu AI funkciju „Scam detection“ koja prati telefonske razgovore na Google Pixel uređajima kako bi otkrila obrasce koj... Dalje

iPhone ima novu bezbednosnu funkciju koja hakerima ali i policiji blokira pristup podacima na uređaju

iPhone ima novu bezbednosnu funkciju koja hakerima ali i policiji blokira pristup podacima na uređaju

Sa ažuriranjem iOS 18.1 objavljenim prošlog meseca, Apple je dodao novu bezbednosnu funkciju, tajmer neaktivnosti, tako da se iPhone automatski pono... Dalje

Novi moćni trojanac ToxicPanda ugrožava bankovne račune korisnika Androida širom sveta

Novi moćni trojanac ToxicPanda ugrožava bankovne račune korisnika Androida širom sveta

Tim istraživača iz kompanije Cleafy upozorio je na novi opasni malver koji se širi širom sveta i koji je pretnja za svačije bankovne račune. Re... Dalje

Android malver preusmerava korisničke pozive bankama na brojeve koje kontrolišu hakeri

Android malver preusmerava korisničke pozive bankama na brojeve koje kontrolišu hakeri

Nova verzija malvera za Android FakeCall otima odlazne pozive korisnika ka njihovoj banci, i preusmerava ih na telefonski broj napadača. Cilj najnovi... Dalje