Malver Mobstspy pronađen u legitimnim aplikacijama u Google Play prodavnici

Mobilni telefoni, 10.01.2019, 00:30 AM

Malver Mobstspy pronađen u legitimnim aplikacijama u Google Play prodavnici

Istraživači kompanije Trend Micro otkrili su brojne igre i aplikacije koje sadrže ugrađeni špijunski softver koji može da ukrade lične podatke i pošalje ih sajber-kriminalcima.

Maliciozni program nazvan Mobstspy je Android spyware koji je pronađen u uslužnim aplikacijama i igrama koje su uspešno maskirane tako da izgledaju legitimno. Većina zaraženih uređaja je pronađena u Indiji, ali izgleda da je Mobstspy distribuiran globalno jer je uspeo da zarazi uređaje u oko 196 zemalja.

Identifikovano je ukupno 7 aplikacija koje sadrže Mobstspy i to su:

Flappy Bird

HZPermis

Pro Arabe

FlashLight

Flappy Birr Dog

Win7Launcher

Win7imulator

Jedna od ovih aplikacija je instalirana preko 100000 puta.

S obzirom da je malver osposobljen za fišing, napadač može lako pokrenuti lažni ekran za prijavljivanje kada žrtva pokuša da koristi svoj Google ili Facebook nalog. Budući da većina korisnika ne ume da razlikuje lažne i originalne ekrane za prijavljivanje, skoro je izvesno da će upasti u zamku.

Ako korisnik unese svoje korisničko ime i lozinku, pojaviće se lažna iskačuća poruka u kojoj se tvrdi da je prijavljivanje bilo neuspešno. U tom trenutku zlonamerni softver je već ukrao podatke koje žele sajber-kriminalci.

U slučaju da je korisnik omogućio dvofaktornu autentifikaciju (2FA), napadaču bi bilo teško da otme nalog. Srećom, i Google i Facebook nude 2FA.

Mobstspy se razlikuje od drugih špijunskih programa za Android zato što krade širok spektar podataka sa zaraženih uređaja kao što su kontakti, evidencije poziva, slike, snimljene razgovore i tekstualne poruke. Posebno traži podatke iz aplikacija kao što su Snapchat, WhatsApp, Viber i aplikacija za snimanje razgovora. Pored toga, malver pretražuje folder u kome se čuvaju fajlovi koji se prenose preko Bluetootha, folder sa audio fajlovima i folder kamere.

Istraživači kompanije Trend Micro pronašli su C&C servere na koje Mobstspy prebacuje sve ukradene podatke.

Mobstspy dostavlja informacije pomoću Googleovog sistema Firebase Cloud Messaging koji radi na Androidu, iOS i web aplikacijama. Nakon pokretanja zaražene aplikacije na uređaju, zlonamerni program proverava mrežu uređaja, a zatim čita/analizira XML konfiguracijski fajl sa C&C servera, nakon čega prikuplja informacije i šalje napadačima. Nakon isporučivanja podataka, uređaj počinje da prima komande preko Firebase servisa i izvršava ih.

"Ovaj slučaj pokazuje da, uprkos rasprostranjenosti i korisnosti aplikacija, korisnici moraju biti oprezni kada ih preuzimaju na svoje uređaje. Popularnost aplikacija služi kao podsticaj za sajber-kriminalce da nastave da razvijaju kampanje koje ih koriste za krađu informacija ili druge vrste napada. Pored toga, korisnici mogu da instaliraju sveobuhvatno rešenje za zaštitu kako bi zaštitili svoje mobilne uređaje od malicioznog softvera za mobilne uređaje", kažu istraživači.

Inficirane aplikacije su bile dostupne u Google Play prodavnici 2018. godine. Google ih je uklonio, međutim, alternativne prodavnice aplikacija još uvek ih nude pa je trenutno nejasno koliko je uređaja inficirano Mobstspy malverom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Googleova usluga provere lozinki dolazi na Android

Googleova usluga provere lozinki dolazi na Android

Google dodaje podršku za uslugu provere lozinke (Password Checkup) Android aplikacijama putem funkcije automatskog popunjavanja lozinki kako bi upozo... Dalje

SHAREit (najzad) uklonio opasne ranjivosti iz svoje aplikacije za Android

SHAREit (najzad) uklonio opasne ranjivosti iz svoje aplikacije za Android

Smart Media4U Technology sa sedištem u Singapuru objavila je da je popravila bagove u svojoj aplikaciji SHAREit koji su mogli omogućiti napadačima... Dalje

WhatsApp ponovo pokušao da objasni novu politiku privatnosti, a evo šta će se dogoditi posle 15. maja onima koji je ne prihvate

WhatsApp ponovo pokušao da objasni novu politiku privatnosti, a evo šta će se dogoditi posle 15. maja onima koji je ne prihvate

WhatsApp je na svom veb sajtu još jednom pokušao da objasni šta će se dogoditi sa korisnicima koji ne prihvate njegovu novu politiku privatnosti ... Dalje

Popularna aplikacija sa više od milijardu korisnika ima opasne ranjivosti koje proizvođač ni posle 3 meseca nije otklonio

Popularna aplikacija sa više od milijardu korisnika ima opasne ranjivosti koje proizvođač ni posle 3 meseca nije otklonio

Android aplikacija koja je preuzeta više od milijardu puta ima greške koje proizvođač aplikacije nije uspeo da otkloni više od tri meseca, a koje... Dalje

Slack zatražio od korisnika Android aplikacije da odmah promene lozinku

Slack zatražio od korisnika Android aplikacije da odmah promene lozinku

Pre nešto više od godinu i po dana Slack je otkrio da je 2015. hakovan, i da su tom prilikom kompromitovani podaci na hiljade njegovih korisnika. Da... Dalje