Novi Android malver Alien krade lozinke za 226 aplikacija

Mobilni telefoni, 25.09.2020, 02:00 AM

Novi malver za Android zove se Alien. Otkrili su ga istraživači iz firme ThreatFabric, a reč je o trojancu sa nizom funkcija koje mu omogućavaju krađu podataka za prijavljivanje iz 226 aplikacija.

Ovaj malver aktivan je od početka godine a na hakerskim forumima nudi se kao “Malware-as-a-Service (MaaS).

Prema rečima istraživača, Alien nije potpuno novi malver, već je zapravo baziran na izvornom kodu malvera Cerberus koga je distribuirala rivalska kriminalna grupa.

Cerberus, koji je prošle godine bio aktivan MaaS, propao je ove godine, jer je njegov vlasnik pokušao da proda njegov kod i bazu klijenata, pre nego što je na kraju malver objavljen besplatno. ThreatFabric kaže da se od Cerberusa odustalo jer je Googleov tim za bezbednost pronašao način za otkrivanje i čišćenje zaraženih uređaja. Ali iako se Alien oslanja na stariju verziju Cerberusa, izgleda da on nema ovaj problem, a njegov MaaS je uskočio da popuni prazninu koju je ostavio Cerberus. Istraživači kažu da je Alien čak napredniji od Cerberusa.

ThreatFabric kaže da je Alien deo nove generacije Android bankarskih trojanaca u čije su kodove integrisane funkcije daljinskog pristupa.

Trenutno se Alien može pohvaliti sledećim mogućnostima:

Može da preklapa sadržaj drugih aplikacija (funkcija koja se koristi za krađu poverljivih podataka za prijavljivanje)

Beleži pritisak korisnika na tastere

Omogućava daljinski pristup uređaju nakon instaliranja TeamViewera

Prikuplja, šalje ili prosleđuje SMS poruke

Krade listu kontakata

Prikuplja detalje o uređaju i aplikacijama

Prikuplja podatke o geolokaciji

Šalje USSD zahteve

Preusmerava pozive

Instalira i pokreće druge aplikacije

Pokreće pregledače na željenim stranicama

Zaključava ekran slično kao ransomware

Nadgleda obaveštenja prikazana na uređaju

Krade 2FA kodove koje generišu aplikacije za autentifikaciju

To je prilično impresivan niz funkcija za koje istraživači kažu da se uglavnom koriste za prevare.

Alien ima i podršku za prikazivanje lažnih stranica za prijavljivanje za 226 Android aplikacija. Većina ovih lažnih stranica za prijavu služi za presretanje podataka za prijavljivanje u aplikacijama za e-bankarstvo. Međutim, Alien cilja i druge aplikacije, poput email aplikacija, društvenih mreža, mesindžera i aplikacija za kriptovalute (Gmail, Facebook, Telegram, Twitter, Snapchat, WhatsApp itd.) Većina bankarskih aplikacija koje cilja Alien su aplikacije banaka sa sedištem u Španiji, Turskoj, Nemačkoj, SAD, Italiji, Francuskoj, Poljskoj, Australiji i Velikoj Britaniji.

ThreatFabric nije objavio kako Alien inficira uređaje korisnika, pre svega zato što se to razlikuje u zavisnosti od toga kako su kupci Alien MaaS (druge kriminalne grupe) odlučili da ga distribuiraju. Međutim, Android malveri se često maskiraju u aplikacije koje se distribuiraju preko nezvaničnih prodavnica aplikacija ili u aplikacije koje se mogu preuzeti sa nezavisnih veb sajtova, na koje se korisnici dovode preko sumnjivih oglasa. Aplikacije inficirane malverima povremeno se pojavljuju i u Play prodavnici, ali u većini slučajeva distribuiraju se preko drugih kanala.

Sumnjive aplikacije mogu se lako primetiti jer često zahtevaju od korisnika da im odobre administratorski pristup ili pristup usluzi pristupačnosti.

Iako saveti da se aplikacije ne instaliraju sa sumnjivih veb sajtova i da im se ne daju administratorska prava zvuče smisleno, nisu svi Android korisnici dovoljno tehnički edukovani da bi to razumeli, a mnogi korisnici će preuzeti i instalirati aplikacije sa bilo kog sajta, a zatim će samo kliktati na sve zahteve tokom instalacije.

Ovako malver funkcioniše, ciljajući neiskusne korisnike, a ne „stručnjake“. Mnogo je je više ovih prvih, pa su zato Android malveri danas ozbiljan poslovni model.