Malver Mobstspy pronađen u legitimnim aplikacijama u Google Play prodavnici

Mobilni telefoni, 10.01.2019, 00:30 AM

Malver Mobstspy pronađen u legitimnim aplikacijama u Google Play prodavnici

Istraživači kompanije Trend Micro otkrili su brojne igre i aplikacije koje sadrže ugrađeni špijunski softver koji može da ukrade lične podatke i pošalje ih sajber-kriminalcima.

Maliciozni program nazvan Mobstspy je Android spyware koji je pronađen u uslužnim aplikacijama i igrama koje su uspešno maskirane tako da izgledaju legitimno. Većina zaraženih uređaja je pronađena u Indiji, ali izgleda da je Mobstspy distribuiran globalno jer je uspeo da zarazi uređaje u oko 196 zemalja.

Identifikovano je ukupno 7 aplikacija koje sadrže Mobstspy i to su:

Flappy Bird

HZPermis

Pro Arabe

FlashLight

Flappy Birr Dog

Win7Launcher

Win7imulator

Jedna od ovih aplikacija je instalirana preko 100000 puta.

S obzirom da je malver osposobljen za fišing, napadač može lako pokrenuti lažni ekran za prijavljivanje kada žrtva pokuša da koristi svoj Google ili Facebook nalog. Budući da većina korisnika ne ume da razlikuje lažne i originalne ekrane za prijavljivanje, skoro je izvesno da će upasti u zamku.

Ako korisnik unese svoje korisničko ime i lozinku, pojaviće se lažna iskačuća poruka u kojoj se tvrdi da je prijavljivanje bilo neuspešno. U tom trenutku zlonamerni softver je već ukrao podatke koje žele sajber-kriminalci.

U slučaju da je korisnik omogućio dvofaktornu autentifikaciju (2FA), napadaču bi bilo teško da otme nalog. Srećom, i Google i Facebook nude 2FA.

Mobstspy se razlikuje od drugih špijunskih programa za Android zato što krade širok spektar podataka sa zaraženih uređaja kao što su kontakti, evidencije poziva, slike, snimljene razgovore i tekstualne poruke. Posebno traži podatke iz aplikacija kao što su Snapchat, WhatsApp, Viber i aplikacija za snimanje razgovora. Pored toga, malver pretražuje folder u kome se čuvaju fajlovi koji se prenose preko Bluetootha, folder sa audio fajlovima i folder kamere.

Istraživači kompanije Trend Micro pronašli su C&C servere na koje Mobstspy prebacuje sve ukradene podatke.

Mobstspy dostavlja informacije pomoću Googleovog sistema Firebase Cloud Messaging koji radi na Androidu, iOS i web aplikacijama. Nakon pokretanja zaražene aplikacije na uređaju, zlonamerni program proverava mrežu uređaja, a zatim čita/analizira XML konfiguracijski fajl sa C&C servera, nakon čega prikuplja informacije i šalje napadačima. Nakon isporučivanja podataka, uređaj počinje da prima komande preko Firebase servisa i izvršava ih.

"Ovaj slučaj pokazuje da, uprkos rasprostranjenosti i korisnosti aplikacija, korisnici moraju biti oprezni kada ih preuzimaju na svoje uređaje. Popularnost aplikacija služi kao podsticaj za sajber-kriminalce da nastave da razvijaju kampanje koje ih koriste za krađu informacija ili druge vrste napada. Pored toga, korisnici mogu da instaliraju sveobuhvatno rešenje za zaštitu kako bi zaštitili svoje mobilne uređaje od malicioznog softvera za mobilne uređaje", kažu istraživači.

Inficirane aplikacije su bile dostupne u Google Play prodavnici 2018. godine. Google ih je uklonio, međutim, alternativne prodavnice aplikacija još uvek ih nude pa je trenutno nejasno koliko je uređaja inficirano Mobstspy malverom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

27 od 150 vodećih VPN aplikacija u Google Play prodavnici su potencijalni izvor malvera

27 od 150 vodećih VPN aplikacija u Google Play prodavnici su potencijalni izvor malvera

Jedna od pet aplikacija među vodećih 150 besplatnih VPN aplikacija za Android u Google Play prodavnici označena je kao potencijalni izvor zlonamern... Dalje

WhatsApp ograničava prosleđivanje poruka da bi se izborio sa širenjem lažnih vesti

WhatsApp ograničava prosleđivanje poruka da bi se izborio sa širenjem lažnih vesti

U pokušaju da se uhvati u koštac sa širenjem dezinformacija na svoj platformi, WhatsApp će svim svojim korisnicima ograničiti prosleđivanje poru... Dalje

U Google Play prodavnici pronađeno 19 lažnih GPS aplikacija sa preko 50 miliona instalacija

U Google Play prodavnici pronađeno 19 lažnih GPS aplikacija sa preko 50 miliona instalacija

19 Android lažnih GPS aplikacija sa preko 50 miliona instalacija pronađeno je u Google Play prodavnici. Umesto onoga što obećavaju a šta ne rade,... Dalje

Android aplikacije koje kradu lozinke iz aplikacija banaka koriste senzor pokreta da ne bi bile otkrivene

Android aplikacije koje kradu lozinke iz aplikacija banaka koriste senzor pokreta da ne bi bile otkrivene

Tim istraživača kompanije Trend Micro pronašao je u Google Play prodavnici dve aplikacije inficirane bankarskim malverom, koje su instalirane na hi... Dalje

WhatsApp će korisnicima ponuditi zaštitu poruka pomoću otiska prsta

WhatsApp će korisnicima ponuditi zaštitu poruka pomoću otiska prsta

WhatsApp će sa svojom najnovijom verzijom predstaviti potpuno novu funkciju koja bi trebalo da značajno poboljša sigurnost korisnika. Popularna ap... Dalje