Lažna aplikacija sa Google Play koristi zaražene uređaje za kreiranje lažnih Facebook, Google i WhatsApp naloga

Mobilni telefoni, 01.12.2022, 11:00 AM

Lažna aplikacija sa Google Play koristi zaražene uređaje za kreiranje lažnih Facebook, Google i WhatsApp naloga

Zlonamerna Android SMS aplikacija otkrivena u Google Play prodavnici krišom prikuplja poruke sa OTP (jednokratnim) lozinkama koje se koriste za kreiranje naloga na širokom spektru platformi kao što su Facebook, Google i WhatsApp.

Pre nego što je uklonjena iz Play prodavnice, aplikacija Symoo (com.vanjan.sms) je imala više od 100.000 preuzimanja. Ona funkcioniše kao relej za slanje poruka na server, koji se reklamira kao servis za kreiranje naloga.

Zaraženi uređaji se iznajmljuju kao „virtuelni brojevi“ za jednokratne kodove koji se šalju radi verifikacije prilikom kreiranja novih naloga.

Aplikacija ima ukupnu ocenu 3,4, ali u recenzijama mnogi korisnici se žale da je aplikacija lažna, da preuzima njihove telefone i generiše OTP (jednokratne kodove) nakon instalacije.

Posle instalacije na uređaju, aplikacija zahteva pristup za slanje i čitanje SMS-a, što deluje legitimno s obzirom da se Symoo predstavlja kao SMS aplikacija, „jednostavna za korišćenje“.

Kako je objasnio Maksim Ingrao, istraživač bezbednosti koji je otkrio ovu aplikaciju, od korisnika se na prvom ekranu traži da navede svoj broj telefona.

„Onda se [malver] pretvara da učitava aplikaciju, ali ostaje sve vreme na ovoj stranici da bi se sakrio interfejs primljenog SMS-a i da korisnik ne vidi SMS pretplate na različite servise“, kaže Ingrao.

Proces navodnog učitavanja aplikacije se produžava, omogućavajući operaterima da pošalju više 2FA (dvofaktorska autentifikacija) SMS poruka za kreiranje naloga na različitim servisima i pročitaju njihov sadržaj.

Kada se to završi, aplikacija će se zamrznuti i nikada neće prikazati obećani SMS interfejs, tako da su je korisnici posle toga obično deinstalirali.

Do tog trenutka, aplikacija će koristiti telefonski broj korisnika za generisanje lažnih naloga na različitim onlajn platformama, a korisnici u recenzijama kažu da je među njihovim porukama mnogo poruka sa jednokratnim lozinkama za naloge koje nikada nisu kreirali.

Pošto su brojevi telefona često neophodni za verifikaciju naloga, ovi lažni nalozi mogu biti veoma korisni.

Neke od platformi na kojima su se ilegalno registrovali nalozi pomoću otetih telefonskih brojeva su, između ostalih, Amazon, Discord, Facebook, Google, Instagram, KakaoTalk, Microsoft, Nike, Telegram, TikTok, Tinder, Viber i WhatsApp.

Ingrao je otkrio i da se SMS podaci koje je prikupio malver eksfiltriraju na domen „goomy[.]fun“, koji je ranije korišćen u drugoj zlonamernoj aplikaciji pod nazivom Virtual Number (com.programmatics.virtualnumber), koja je neko vreme takođe bila dostupna na Google Play.

Programer aplikacije, Walven, takođe je povezan sa još jednom Android aplikacijom pod nazivom ActivationPW - Virtual numbers (com.programmatics.activation), koja je imala 10.000 preuzimanja, i koja nudi „virtuelne brojeve za SMS verifikaciju“ iz više od 200 zemalja za manje od 50 centi.

Iako nije potvrđeno, veruje se da se aplikacija Symoo koristi za primanje i prosleđivanje OTP verifikacionih kodova generisanih kada ljudi kreiraju naloge koristeći ActivationPW.

Programer ovih aplikacija blokiran je u Google Play prodavnici.

Ako ste instalirali ove aplikacije, trebalo bi da ih deinstalirate, ako ni zbog čega drugog, ono zbog toga što kopiraju sadržaj vaših SMS poruka na servere, što je jasno iz njihove politike privatnosti u kojoj se navodi da one blokiraju neželjene poruke i prave rezervne kopije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Isključujete li nekad svoj pametni telefon? Evo zašto bi to trebalo raditi barem jednom nedeljno

Isključujete li nekad svoj pametni telefon? Evo zašto bi to trebalo raditi barem jednom nedeljno

Isključujete li nekad svoj telefon? Ako je odgovor ne, trebalo bi da promenite to i bar jednom nedeljno isključite i uključite telefon. Ovo je samo... Dalje

Bankarski trojanac Anatsa (Teabot) ponovo pronađen u aplikacijama u Google Play prodavnici

Bankarski trojanac Anatsa (Teabot) ponovo pronađen u aplikacijama u Google Play prodavnici

Istraživači iz kompanije Zscaler pronašli su više od 90 Android aplikacija instaliranih više od 5,5 miliona puta preko Google Play, koje su uređ... Dalje

Novi Android bankovni trojanac Antidot se predstavlja kao aplikacija za ažuriranje Google Play-a

Novi Android bankovni trojanac Antidot se predstavlja kao aplikacija za ažuriranje Google Play-a

Istraživači bezbednosti iz Cyble Research and Intelligence Labs (CRIL) otkrili su novog bankarskog trojanca koji cilja Android uređaje. U izveštaj... Dalje

Android dobija zaštitu od krađe podataka za ukradene i izgubljene telefone

Android dobija zaštitu od krađe podataka za ukradene i izgubljene telefone

Google je najavio da uvodi nekoliko funkcija za zaštitu podataka od krađe, od kojih će neke biti dostupne samo za Android 15+ uređaje, dok će dr... Dalje

Google najavio nove funkcije za zaštitu od prevara i malvera na Androidu

Google najavio nove funkcije za zaštitu od prevara i malvera na Androidu

Google je ove nedelje održao godišnju konferenciju za programere, na kojoj je najavio nove bezbednosne funkcije za zaštitu od prevara koje dolaze u... Dalje