Lažna aplikacija sa Google Play koristi zaražene uređaje za kreiranje lažnih Facebook, Google i WhatsApp naloga

Mobilni telefoni, 01.12.2022, 11:00 AM

Lažna aplikacija sa Google Play koristi zaražene uređaje za kreiranje lažnih Facebook, Google i WhatsApp naloga

Zlonamerna Android SMS aplikacija otkrivena u Google Play prodavnici krišom prikuplja poruke sa OTP (jednokratnim) lozinkama koje se koriste za kreiranje naloga na širokom spektru platformi kao što su Facebook, Google i WhatsApp.

Pre nego što je uklonjena iz Play prodavnice, aplikacija Symoo (com.vanjan.sms) je imala više od 100.000 preuzimanja. Ona funkcioniše kao relej za slanje poruka na server, koji se reklamira kao servis za kreiranje naloga.

Zaraženi uređaji se iznajmljuju kao „virtuelni brojevi“ za jednokratne kodove koji se šalju radi verifikacije prilikom kreiranja novih naloga.

Aplikacija ima ukupnu ocenu 3,4, ali u recenzijama mnogi korisnici se žale da je aplikacija lažna, da preuzima njihove telefone i generiše OTP (jednokratne kodove) nakon instalacije.

Posle instalacije na uređaju, aplikacija zahteva pristup za slanje i čitanje SMS-a, što deluje legitimno s obzirom da se Symoo predstavlja kao SMS aplikacija, „jednostavna za korišćenje“.

Kako je objasnio Maksim Ingrao, istraživač bezbednosti koji je otkrio ovu aplikaciju, od korisnika se na prvom ekranu traži da navede svoj broj telefona.

„Onda se [malver] pretvara da učitava aplikaciju, ali ostaje sve vreme na ovoj stranici da bi se sakrio interfejs primljenog SMS-a i da korisnik ne vidi SMS pretplate na različite servise“, kaže Ingrao.

Proces navodnog učitavanja aplikacije se produžava, omogućavajući operaterima da pošalju više 2FA (dvofaktorska autentifikacija) SMS poruka za kreiranje naloga na različitim servisima i pročitaju njihov sadržaj.

Kada se to završi, aplikacija će se zamrznuti i nikada neće prikazati obećani SMS interfejs, tako da su je korisnici posle toga obično deinstalirali.

Do tog trenutka, aplikacija će koristiti telefonski broj korisnika za generisanje lažnih naloga na različitim onlajn platformama, a korisnici u recenzijama kažu da je među njihovim porukama mnogo poruka sa jednokratnim lozinkama za naloge koje nikada nisu kreirali.

Pošto su brojevi telefona često neophodni za verifikaciju naloga, ovi lažni nalozi mogu biti veoma korisni.

Neke od platformi na kojima su se ilegalno registrovali nalozi pomoću otetih telefonskih brojeva su, između ostalih, Amazon, Discord, Facebook, Google, Instagram, KakaoTalk, Microsoft, Nike, Telegram, TikTok, Tinder, Viber i WhatsApp.

Ingrao je otkrio i da se SMS podaci koje je prikupio malver eksfiltriraju na domen „goomy[.]fun“, koji je ranije korišćen u drugoj zlonamernoj aplikaciji pod nazivom Virtual Number (com.programmatics.virtualnumber), koja je neko vreme takođe bila dostupna na Google Play.

Programer aplikacije, Walven, takođe je povezan sa još jednom Android aplikacijom pod nazivom ActivationPW - Virtual numbers (com.programmatics.activation), koja je imala 10.000 preuzimanja, i koja nudi „virtuelne brojeve za SMS verifikaciju“ iz više od 200 zemalja za manje od 50 centi.

Iako nije potvrđeno, veruje se da se aplikacija Symoo koristi za primanje i prosleđivanje OTP verifikacionih kodova generisanih kada ljudi kreiraju naloge koristeći ActivationPW.

Programer ovih aplikacija blokiran je u Google Play prodavnici.

Ako ste instalirali ove aplikacije, trebalo bi da ih deinstalirate, ako ni zbog čega drugog, ono zbog toga što kopiraju sadržaj vaših SMS poruka na servere, što je jasno iz njihove politike privatnosti u kojoj se navodi da one blokiraju neželjene poruke i prave rezervne kopije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

U eri kada sve više ljudi koristi VPN servise da bi zaštitili svoju privatnost, pojavljuju se ozbiljna upozorenja da neki od tih alata, naročito ak... Dalje

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

Istraživači kompanije Kaspersky otkrili su novi mobilni malver za krađu kriptovaluta pod nazivom SparkKitty. Malver je pronađen u aplikacijama u z... Dalje

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku naz... Dalje

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina (44%) korisnika mobilnih telefona navodi da su svakodnevno izloženi prevarama i pretnjama, a većina je zabrinuta zbog gubitka važni... Dalje

Novi Android malver Crocodilus se širi u sve više zemalja

Novi Android malver Crocodilus se širi u sve više zemalja

Sve je više sajber napada u kojima se koristi novi Android bankarski trojanac pod nazivom Crocodilus, a mete napada su pre svega korisnici u Evropi i... Dalje