Na Google Play otkrivene aplikacije koje inficiraju Android telefone opasnim bankarskim trojancem

Mobilni telefoni, 23.11.2022, 10:30 AM

U zvaničnoj Googleovoj prodavnici aplikacija za Android otkrivene su aplikacije koje su predstavljene kao fajl menadžeri, a koje zapravo inficiraju uređaje korisnika bankarskim trojancem Sharkbot.

„Ako nešto dolazi iz zvanične prodavnice, ljudi bi mogli biti skloni da veruju da je bezbedno. Naše istraživanje je pokazalo da je to netačno, mnogo puta“, kažu istraživači Bitdefendera.

Da ne bi bile otkrivene, sporne aplikacije ne sadrže malver u trenutku kada ih korisnici preuzmu i instaliraju, već ga kasnije preuzimaju sa servera pod kontrolom napadača, u zavisnosti od lokacije korisnika.

Pošto su trojanske aplikacije menadžeri fajlova, manje je verovatno da će izazvati sumnju kada od korisnika zatraže opasne dozvole, kao što je dozvola za instaliranje novih paketa (REQUEST_INSTALL_PACKAGES) koja je neophodna za preuzimanje Sharkbot malvera. Druge rizične dozvole koje zahtevaju ove aplikacije su dozvola za čitanje i pisanje spoljne memorije, pristup detaljima naloga, brisanje paketa (da bi se izbrisali tragovi) itd. Sve ove dozvole izgledaju normalno i očekivano u kontekstu aplikacija za upravljanje fajlovima, tako da je manje verovatno da će kod korisnika ovakvi zahtevi izazvati bilo kakvu sumnju.

Sharkbot je opasni malver koji krade onlajn bankovne račune tako što prikazuje lažne obrasce za prijavu preko legitimnih obrazaca za prijavu u aplikacijama banaka. Kada korisnik pokuša da se prijavi u aplikaciji svoje banke i unese podatke za prijavu u lažni obrazac, podaci se kradu i šalju sajber kriminalcima.

Analitičari malvera u Bitdefenderu prijavili su Googleu ove trojanske aplikacije posle čega su one uklonjene iz Google Play prodavnice. Međutim, i dalje se mogu naći svuda na internetu, u različitim prodavnicama aplikacija.

Pored toga, korisnici koji su preuzeli ove aplikacije možda ih i dalje imaju instalirane na svojim telefonima ili su im telefoni i dalje inficirani malverom.

Prva zlonamerna aplikacija je „X-File Manager“ firme Victor Soft Ice LLC (com.victorsoftice.llc), preuzeta 10.000 puta sa Google Play pre nego što ju je Google na kraju uklonio. Aplikacija vrši provere emulacije da bi izbegla otkrivanje i učitava Sharkbot samo na telefone sa britanskim ili italijanskim SIM karticama. Sharkbot se preuzima kao lažno ažuriranje programa, a dozvolu za to aplikacija X-File Manager traži od korisnika pre instaliranja.

Bitdefender je objavio spisak aplikacija banaka koje su ciljane Sharkbotom, uz napomenu da ova lista može biti daljinski ažurirana u bilo kom trenutku.

Najveći broj infekcija zabeležen je u Velikoj Britaniji, Italiji, Iranu i Nemačkoj.

Druga zlonamerna aplikacija koja instalira Sharkbot je „FileVoyager“ kompanije Julia Soft Io LLC (com.potsepko9.FileManagerApp), preuzeta 5.000 puta sa Google Play. FileVoyager ima isti obrazac delovanja kao X-File Manager i cilja na iste banke u Italiji i Velikoj Britaniji.

Još jedna aplikacija koju je uočio Bitdefender je „LiteCleaner M“ (com.ltdevelopergroups.litecleaner.m), koja je imala 1.000 preuzimanja pre nego što je primećena i uklonjena iz Play prodavnice. Trenutno je ova aplikacija dostupna u nezvaničnim prodavnicama aplikacija kao što je APKSOS. U istoj prodavnici aplikacija pronađena je i četvrta aplikacija koja instalira Sharkbot pod nazivom „Phone AID, Cleaner, Booster 2.6“ (om.sidalistudio.developer.app).

Ako su instalirali neku od navedenih aplikacija, korisnici Androida treba da je odmah uklone i promene lozinke za sve online bankovne račune.

Najbolji način da se zaštitite od malvera koji se s vremena na vreme infiltriraju u Googleovu prodavnicu aplikacija je da omogućite uslugu Play Protect koja uklanja zlonamerne aplikacije čim se otkriju. Antivirus za Android takođe bi pomogao u otkrivanju zlonamernog saobraćaja i aplikacija, čak i pre nego što se zlonamerne aplikacije prijave Googleu i budu uklonjene iz Play prodavnice.