Na Google Play otkrivene aplikacije koje inficiraju Android telefone opasnim bankarskim trojancem

Mobilni telefoni, 23.11.2022, 10:30 AM

Na Google Play otkrivene aplikacije koje inficiraju Android telefone opasnim bankarskim trojancem

U zvaničnoj Googleovoj prodavnici aplikacija za Android otkrivene su aplikacije koje su predstavljene kao fajl menadžeri, a koje zapravo inficiraju uređaje korisnika bankarskim trojancem Sharkbot.

„Ako nešto dolazi iz zvanične prodavnice, ljudi bi mogli biti skloni da veruju da je bezbedno. Naše istraživanje je pokazalo da je to netačno, mnogo puta“, kažu istraživači Bitdefendera.

Da ne bi bile otkrivene, sporne aplikacije ne sadrže malver u trenutku kada ih korisnici preuzmu i instaliraju, već ga kasnije preuzimaju sa servera pod kontrolom napadača, u zavisnosti od lokacije korisnika.

Pošto su trojanske aplikacije menadžeri fajlova, manje je verovatno da će izazvati sumnju kada od korisnika zatraže opasne dozvole, kao što je dozvola za instaliranje novih paketa (REQUEST_INSTALL_PACKAGES) koja je neophodna za preuzimanje Sharkbot malvera. Druge rizične dozvole koje zahtevaju ove aplikacije su dozvola za čitanje i pisanje spoljne memorije, pristup detaljima naloga, brisanje paketa (da bi se izbrisali tragovi) itd. Sve ove dozvole izgledaju normalno i očekivano u kontekstu aplikacija za upravljanje fajlovima, tako da je manje verovatno da će kod korisnika ovakvi zahtevi izazvati bilo kakvu sumnju.

Sharkbot je opasni malver koji krade onlajn bankovne račune tako što prikazuje lažne obrasce za prijavu preko legitimnih obrazaca za prijavu u aplikacijama banaka. Kada korisnik pokuša da se prijavi u aplikaciji svoje banke i unese podatke za prijavu u lažni obrazac, podaci se kradu i šalju sajber kriminalcima.

Analitičari malvera u Bitdefenderu prijavili su Googleu ove trojanske aplikacije posle čega su one uklonjene iz Google Play prodavnice. Međutim, i dalje se mogu naći svuda na internetu, u različitim prodavnicama aplikacija.

Pored toga, korisnici koji su preuzeli ove aplikacije možda ih i dalje imaju instalirane na svojim telefonima ili su im telefoni i dalje inficirani malverom.

Prva zlonamerna aplikacija je „X-File Manager“ firme Victor Soft Ice LLC (com.victorsoftice.llc), preuzeta 10.000 puta sa Google Play pre nego što ju je Google na kraju uklonio. Aplikacija vrši provere emulacije da bi izbegla otkrivanje i učitava Sharkbot samo na telefone sa britanskim ili italijanskim SIM karticama. Sharkbot se preuzima kao lažno ažuriranje programa, a dozvolu za to aplikacija X-File Manager traži od korisnika pre instaliranja.

Bitdefender je objavio spisak aplikacija banaka koje su ciljane Sharkbotom, uz napomenu da ova lista može biti daljinski ažurirana u bilo kom trenutku.

Najveći broj infekcija zabeležen je u Velikoj Britaniji, Italiji, Iranu i Nemačkoj.

Druga zlonamerna aplikacija koja instalira Sharkbot je „FileVoyager“ kompanije Julia Soft Io LLC (com.potsepko9.FileManagerApp), preuzeta 5.000 puta sa Google Play. FileVoyager ima isti obrazac delovanja kao X-File Manager i cilja na iste banke u Italiji i Velikoj Britaniji.

Još jedna aplikacija koju je uočio Bitdefender je „LiteCleaner M“ (com.ltdevelopergroups.litecleaner.m), koja je imala 1.000 preuzimanja pre nego što je primećena i uklonjena iz Play prodavnice. Trenutno je ova aplikacija dostupna u nezvaničnim prodavnicama aplikacija kao što je APKSOS. U istoj prodavnici aplikacija pronađena je i četvrta aplikacija koja instalira Sharkbot pod nazivom „Phone AID, Cleaner, Booster 2.6“ (om.sidalistudio.developer.app).

Ako su instalirali neku od navedenih aplikacija, korisnici Androida treba da je odmah uklone i promene lozinke za sve online bankovne račune.

Najbolji način da se zaštitite od malvera koji se s vremena na vreme infiltriraju u Googleovu prodavnicu aplikacija je da omogućite uslugu Play Protect koja uklanja zlonamerne aplikacije čim se otkriju. Antivirus za Android takođe bi pomogao u otkrivanju zlonamernog saobraćaja i aplikacija, čak i pre nego što se zlonamerne aplikacije prijave Googleu i budu uklonjene iz Play prodavnice.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažna aplikacija sa Google Play koristi zaražene uređaje za kreiranje lažnih Facebook, Google i WhatsApp naloga

Lažna aplikacija sa Google Play koristi zaražene uređaje za kreiranje lažnih Facebook, Google i WhatsApp naloga

Zlonamerna Android SMS aplikacija otkrivena u Google Play prodavnici krišom prikuplja poruke sa OTP (jednokratnim) lozinkama koje se koriste za kreir... Dalje

Na Google Play otkrivene aplikacije koje inficiraju Android telefone opasnim bankarskim trojancem

Na Google Play otkrivene aplikacije koje inficiraju Android telefone opasnim bankarskim trojancem

U zvaničnoj Googleovoj prodavnici aplikacija za Android otkrivene su aplikacije koje su predstavljene kao fajl menadžeri, a koje zapravo inficiraju ... Dalje

Android ima grešku zbog koje neko sa fizičkim pristupom vašem uređaju može zaobići zaštitu zaključanog ekrana

Android ima grešku zbog koje neko sa fizičkim pristupom vašem uređaju može zaobići zaštitu zaključanog ekrana

Istraživač sajber bezbednosti David Šuc slučajno je otkrio način da zaobiđe zaštitu zaključanog ekrana na potpuno ažuriranim pametnim telefon... Dalje

Dve aplikacije sa Google Play inficirale uređaje bankarskim trojancem

Dve aplikacije sa Google Play inficirale uređaje bankarskim trojancem

Google je uklonio dve nove dropper aplikacije koje su otkrivene u Play prodavnici aplikacija za Android, od kojih je jedna distribuirala bankarski mal... Dalje

Put jednog Android malvera: Od bezazlene aplikacije u Google Play prodavnici do bankarske prevare

Put jednog Android malvera: Od bezazlene aplikacije u Google Play prodavnici do bankarske prevare

Bankarski trojanac za Android Vultur, dostigao je ukupno više od 100.000 preuzimanja u Google Play prodavnici, navodi se u novom izveštaju stručnja... Dalje