Na Google Play otkrivene aplikacije koje inficiraju Android telefone opasnim bankarskim trojancem

Mobilni telefoni, 23.11.2022, 10:30 AM

Na Google Play otkrivene aplikacije koje inficiraju Android telefone opasnim bankarskim trojancem

U zvaničnoj Googleovoj prodavnici aplikacija za Android otkrivene su aplikacije koje su predstavljene kao fajl menadžeri, a koje zapravo inficiraju uređaje korisnika bankarskim trojancem Sharkbot.

„Ako nešto dolazi iz zvanične prodavnice, ljudi bi mogli biti skloni da veruju da je bezbedno. Naše istraživanje je pokazalo da je to netačno, mnogo puta“, kažu istraživači Bitdefendera.

Da ne bi bile otkrivene, sporne aplikacije ne sadrže malver u trenutku kada ih korisnici preuzmu i instaliraju, već ga kasnije preuzimaju sa servera pod kontrolom napadača, u zavisnosti od lokacije korisnika.

Pošto su trojanske aplikacije menadžeri fajlova, manje je verovatno da će izazvati sumnju kada od korisnika zatraže opasne dozvole, kao što je dozvola za instaliranje novih paketa (REQUEST_INSTALL_PACKAGES) koja je neophodna za preuzimanje Sharkbot malvera. Druge rizične dozvole koje zahtevaju ove aplikacije su dozvola za čitanje i pisanje spoljne memorije, pristup detaljima naloga, brisanje paketa (da bi se izbrisali tragovi) itd. Sve ove dozvole izgledaju normalno i očekivano u kontekstu aplikacija za upravljanje fajlovima, tako da je manje verovatno da će kod korisnika ovakvi zahtevi izazvati bilo kakvu sumnju.

Sharkbot je opasni malver koji krade onlajn bankovne račune tako što prikazuje lažne obrasce za prijavu preko legitimnih obrazaca za prijavu u aplikacijama banaka. Kada korisnik pokuša da se prijavi u aplikaciji svoje banke i unese podatke za prijavu u lažni obrazac, podaci se kradu i šalju sajber kriminalcima.

Analitičari malvera u Bitdefenderu prijavili su Googleu ove trojanske aplikacije posle čega su one uklonjene iz Google Play prodavnice. Međutim, i dalje se mogu naći svuda na internetu, u različitim prodavnicama aplikacija.

Pored toga, korisnici koji su preuzeli ove aplikacije možda ih i dalje imaju instalirane na svojim telefonima ili su im telefoni i dalje inficirani malverom.

Prva zlonamerna aplikacija je „X-File Manager“ firme Victor Soft Ice LLC (com.victorsoftice.llc), preuzeta 10.000 puta sa Google Play pre nego što ju je Google na kraju uklonio. Aplikacija vrši provere emulacije da bi izbegla otkrivanje i učitava Sharkbot samo na telefone sa britanskim ili italijanskim SIM karticama. Sharkbot se preuzima kao lažno ažuriranje programa, a dozvolu za to aplikacija X-File Manager traži od korisnika pre instaliranja.

Bitdefender je objavio spisak aplikacija banaka koje su ciljane Sharkbotom, uz napomenu da ova lista može biti daljinski ažurirana u bilo kom trenutku.

Najveći broj infekcija zabeležen je u Velikoj Britaniji, Italiji, Iranu i Nemačkoj.

Druga zlonamerna aplikacija koja instalira Sharkbot je „FileVoyager“ kompanije Julia Soft Io LLC (com.potsepko9.FileManagerApp), preuzeta 5.000 puta sa Google Play. FileVoyager ima isti obrazac delovanja kao X-File Manager i cilja na iste banke u Italiji i Velikoj Britaniji.

Još jedna aplikacija koju je uočio Bitdefender je „LiteCleaner M“ (com.ltdevelopergroups.litecleaner.m), koja je imala 1.000 preuzimanja pre nego što je primećena i uklonjena iz Play prodavnice. Trenutno je ova aplikacija dostupna u nezvaničnim prodavnicama aplikacija kao što je APKSOS. U istoj prodavnici aplikacija pronađena je i četvrta aplikacija koja instalira Sharkbot pod nazivom „Phone AID, Cleaner, Booster 2.6“ (om.sidalistudio.developer.app).

Ako su instalirali neku od navedenih aplikacija, korisnici Androida treba da je odmah uklone i promene lozinke za sve online bankovne račune.

Najbolji način da se zaštitite od malvera koji se s vremena na vreme infiltriraju u Googleovu prodavnicu aplikacija je da omogućite uslugu Play Protect koja uklanja zlonamerne aplikacije čim se otkriju. Antivirus za Android takođe bi pomogao u otkrivanju zlonamernog saobraćaja i aplikacija, čak i pre nego što se zlonamerne aplikacije prijave Googleu i budu uklonjene iz Play prodavnice.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažne YouTube aplikacije kriju malver Capra RAT koji špijunira korisnike zaraženih uređaja

Lažne YouTube aplikacije kriju malver Capra RAT koji špijunira korisnike zaraženih uređaja

Istraživači iz SentinelLabsa primetili su tri Android aplikacije koje imitiraju Googleovu YouTube aplikaciju. Analiza aplikacija je otkrila da je u ... Dalje

Skype za mobilne uređaje otkriva IP adresu korisnika, ali se Microsoftu ne žuri da reši ovaj problem

Skype za mobilne uređaje otkriva IP adresu korisnika, ali se Microsoftu ne žuri da reši ovaj problem

Slanjem linka, hakeri mogu doći do IP adrese korisnika aplikacije Skype i tako otkriti gde se korisnik nalazi. Korisnik aplikacije ne mora da klikne ... Dalje

Na Google Play i Samsung Galaxy Store pronađene trojanizovane verzije popularnih aplikacija Signal i Telegram

Na Google Play i Samsung Galaxy Store pronađene trojanizovane verzije popularnih aplikacija Signal i Telegram

U Google Play prodavnici i Samsung Galaxy Store pronađene su trojanizovane aplikacije Signal i Telegram u kojima je sakriven špijunski softver (spyw... Dalje

Više od 3000 Android aplikacija koristi ovaj trik da bi izbegle otkrivanje

Više od 3000 Android aplikacija koristi ovaj trik da bi izbegle otkrivanje

Istraživači iz kompanije Zimperium upozorili su da sajber kriminalci koriste APK fajlove sa nepoznatim ili nepodržanim metodama kompresije da bi iz... Dalje

Hakeri mogu lažirati režim rada u avionu na iPhoneu

Hakeri mogu lažirati režim rada u avionu na iPhoneu

Istraživači bezbednosti iz Jamf Threat Labsa demonstrirali su napad na iOS 16 kojim je moguće prevariti korisnike iPhonea da poveruju da je njihov... Dalje