Pratite nas preko RSS-aNa Google Play pronađena aplikacija sa trojancem koji krade fajlove sa zaraženog Android uređaja
Mobilni telefoni, 24.05.2023, 08:30 AM
Istraživači malvera iz kompanije ESET pronašli su trojanca za daljinski pristup (RAT) u Google Play prodavnici, sakrivenog u Android aplikaciji za snimanje ekrana sa desetinama hiljada instalacija.
Reč je o aplikaciji iRecorder - Screen Recorder koja je u prodavnici od septembra 2021. Aplikacija je trojanizovana ažuriranjem objavljenim godinu dana kasnije, u avgustu 2022.
Naziv aplikacije olakšava traženje dozvole za snimanje zvuka i pristup fajlovima na zaraženim uređajima jer takav zahtev odgovara očekivanim mogućnostima aplikacije za snimanje ekrana.
Pre nego što je uklonjena, aplikacija je preuzeta iz Play prodavnice više od 50.000 puta.
ESET je obavestio Google „o zlonamernom ponašanju iRecordera“, posle čega je Googleov tim za bezbednost uklonio opasnu aplikaciju iz prodavnice. Nažalost, aplikacija se i dalje može naći u alternativnim, nezvaničnim prodavnicama aplikacija.
Programer iRecordera nudi i druge aplikacije na Google Play, ali one ne sadrže zlonamerni kod.
Malver sakriven u aplikaciji iRecorder analitičari ESET-a nazvali su AhRat jer je baziran na Android RAT-u otvorenog koda poznatom kao AhMith.
Malver ima širok spektar mogućnosti, uključujući praćenje lokacije zaraženih uređaja, krađu evidencije poziva, kontakata i poruka, slanje SMS poruka, snimanje slika i snimanje pozadinskog zvuka.
Sama aplikacija za snimanje ekrana koristila je samo deo mogućnosti RAT-a jer je korišćena samo za snimanje i eksfiltriranje zvučnih snimaka ambijenta i za krađu fajlova sa određenim ekstenzijama, što ukazuje na moguće špijunske aktivnosti.
Ovo nije prvi slučaj da se Android malver baziran na kodu AhMitha infiltrira u Google Play prodavnicu. To se već dogodilo 2019. godine kada je ESET otkrio aplikaciju trojanizovanu AhMithom koja je dva puta prevarila Googleov proces provere aplikacija maskirajući se u aplikaciju za radio striming.
„Ranije je AhMith otvorenog koda koristila Transparent Tribe, takođe poznata kao APT36, grupa za sajber špijunažu koja je poznata po širokoj upotrebi tehnika socijalnog inženjeringa i napadima na državne i vojne organizacije u Južnoj Aziji“, rekao je analitičar malvera u kompaniji ESET Lukas Stefanko. „Ipak, ne možemo da pripišemo trenutne uzorke bilo kojoj određenoj grupi, i nema indicija da ih je proizvela poznata APT grupa“.
Izdvojeno
NoVoice malver na Google Play: zaraženo 2,3 miliona Android uređaja
Novi Android malver pod nazivom NoVoice otkriven je u Google Play prodavnici, skriven u više od 50 aplikacija koje su zajedno preuzete najmanje 2,3 m... Dalje
Apple napravio neuobičajen potez: bezbednosne zakrpe za iOS 18 zbog DarkSword exploita
Apple je doneo neuobičajenu odluku da zaštiti starije iPhone uređaje, potvrdivši da će objaviti bezbednosno ažuriranje za uređaje koji i dalje ... Dalje
Novi Android malver Perseus krade lozinke, bankovne podatke i lične beleške
Novi Android malware nazvan Perseus širi se kroz aplikacije za gledanje televizije putem interneta, sa ciljem krađe lozinki, bankovnih podataka i sa... Dalje
Nova zaštita od Android malvera: Google uvodi 24h čekanja za instalaciju aplikacija van Play prodavnice
Google je najavio novi „advanced flow“ za sideloading aplikacija na Androidu, koji uvodi obavezni period čekanja od 24 sata pre instalaci... Dalje
Nova iOS pretnja DarkSword zaobilazi zaštite i krade podatke korisnika
Istraživači kompanije za mobilnu bezbednost Lookout otkrili su novu kampanju koja koristi exploit kit za iOS uređaje pod nazivom DarkSword, koji om... Dalje
Pratite nas
Nagrade
Prijatelji
