Lažna aplikacija sa Google Play koristi zaražene uređaje za kreiranje lažnih Facebook, Google i WhatsApp naloga

Mobilni telefoni, 01.12.2022, 11:00 AM

Lažna aplikacija sa Google Play koristi zaražene uređaje za kreiranje lažnih Facebook, Google i WhatsApp naloga

Zlonamerna Android SMS aplikacija otkrivena u Google Play prodavnici krišom prikuplja poruke sa OTP (jednokratnim) lozinkama koje se koriste za kreiranje naloga na širokom spektru platformi kao što su Facebook, Google i WhatsApp.

Pre nego što je uklonjena iz Play prodavnice, aplikacija Symoo (com.vanjan.sms) je imala više od 100.000 preuzimanja. Ona funkcioniše kao relej za slanje poruka na server, koji se reklamira kao servis za kreiranje naloga.

Zaraženi uređaji se iznajmljuju kao „virtuelni brojevi“ za jednokratne kodove koji se šalju radi verifikacije prilikom kreiranja novih naloga.

Aplikacija ima ukupnu ocenu 3,4, ali u recenzijama mnogi korisnici se žale da je aplikacija lažna, da preuzima njihove telefone i generiše OTP (jednokratne kodove) nakon instalacije.

Posle instalacije na uređaju, aplikacija zahteva pristup za slanje i čitanje SMS-a, što deluje legitimno s obzirom da se Symoo predstavlja kao SMS aplikacija, „jednostavna za korišćenje“.

Kako je objasnio Maksim Ingrao, istraživač bezbednosti koji je otkrio ovu aplikaciju, od korisnika se na prvom ekranu traži da navede svoj broj telefona.

„Onda se [malver] pretvara da učitava aplikaciju, ali ostaje sve vreme na ovoj stranici da bi se sakrio interfejs primljenog SMS-a i da korisnik ne vidi SMS pretplate na različite servise“, kaže Ingrao.

Proces navodnog učitavanja aplikacije se produžava, omogućavajući operaterima da pošalju više 2FA (dvofaktorska autentifikacija) SMS poruka za kreiranje naloga na različitim servisima i pročitaju njihov sadržaj.

Kada se to završi, aplikacija će se zamrznuti i nikada neće prikazati obećani SMS interfejs, tako da su je korisnici posle toga obično deinstalirali.

Do tog trenutka, aplikacija će koristiti telefonski broj korisnika za generisanje lažnih naloga na različitim onlajn platformama, a korisnici u recenzijama kažu da je među njihovim porukama mnogo poruka sa jednokratnim lozinkama za naloge koje nikada nisu kreirali.

Pošto su brojevi telefona često neophodni za verifikaciju naloga, ovi lažni nalozi mogu biti veoma korisni.

Neke od platformi na kojima su se ilegalno registrovali nalozi pomoću otetih telefonskih brojeva su, između ostalih, Amazon, Discord, Facebook, Google, Instagram, KakaoTalk, Microsoft, Nike, Telegram, TikTok, Tinder, Viber i WhatsApp.

Ingrao je otkrio i da se SMS podaci koje je prikupio malver eksfiltriraju na domen „goomy[.]fun“, koji je ranije korišćen u drugoj zlonamernoj aplikaciji pod nazivom Virtual Number (com.programmatics.virtualnumber), koja je neko vreme takođe bila dostupna na Google Play.

Programer aplikacije, Walven, takođe je povezan sa još jednom Android aplikacijom pod nazivom ActivationPW - Virtual numbers (com.programmatics.activation), koja je imala 10.000 preuzimanja, i koja nudi „virtuelne brojeve za SMS verifikaciju“ iz više od 200 zemalja za manje od 50 centi.

Iako nije potvrđeno, veruje se da se aplikacija Symoo koristi za primanje i prosleđivanje OTP verifikacionih kodova generisanih kada ljudi kreiraju naloge koristeći ActivationPW.

Programer ovih aplikacija blokiran je u Google Play prodavnici.

Ako ste instalirali ove aplikacije, trebalo bi da ih deinstalirate, ako ni zbog čega drugog, ono zbog toga što kopiraju sadržaj vaših SMS poruka na servere, što je jasno iz njihove politike privatnosti u kojoj se navodi da one blokiraju neželjene poruke i prave rezervne kopije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nesrećan kraj kripto romanse: Lažne aplikacije u App Store i Google Play umešane u investicione prevare

Nesrećan kraj kripto romanse: Lažne aplikacije u App Store i Google Play umešane u investicione prevare

Kriminalci koji stoje iza investicionih prevara poznatih kao „pig buchering“ (u slobodnom prevodu „svinjokolj“) ili na kinesko... Dalje

Milioni korisnika sa Google Play preuzeli aplikacije koje ih obmanjuju, bombarduju reklamama i kradu poverljive podatke

Milioni korisnika sa Google Play preuzeli aplikacije koje ih obmanjuju, bombarduju reklamama i kradu poverljive podatke

Tri aplikacije za praćenje fizičkih aktivnosti koje bombarduju korisnike reklamama preuzete su iz Google Play prodavnice aplikacija za Android na v... Dalje

Android 14 će blokirati instalaciju zastarelih aplikacija

Android 14 će blokirati instalaciju zastarelih aplikacija

Sledeća verzija Androida mogla bi vas sprečiti da preuzimate i instalirate zastarele aplikacije van Google Play prodavnice. 9to5Google je primetio ... Dalje

Sa novim Android trojancem, hakeri mogu daljinski kontrolisati vaš telefon

Sa novim Android trojancem, hakeri mogu daljinski kontrolisati vaš telefon

Sajber kriminalci koji stoje iza poznatih Android bankarskih trojanaca BlackRock i ERMAC sada nude još jedan malver pod nazivom Hook, za koji kažu d... Dalje

Samsung telefoni imaju grešku koja omogućava skrivene instalacije aplikacija i prevare

Samsung telefoni imaju grešku koja omogućava skrivene instalacije aplikacija i prevare

U Samsungovoj aplikaciji Galaxy Store za Android otkrivene su dve ranjivosti koje omogućavaju lokalnim napadačima da instaliraju proizvoljne aplika... Dalje