Novi malveri u aplikacijama na Google Play

Mobilni telefoni, 31.07.2023, 09:30 AM

Novi malveri u aplikacijama na Google Play

U Google Play prodavnici primećena su dva nova malvera koji kradu akreditive za novčanike za kriptovalute. Reč je o malverima „CherryBlos“ i „FakeTrade“ koji su, sudeći po tome što koriste istu mrežnu infrastrukturu i certifikate, delo istih ljudi.

Malveri su skriveni u aplikacijama koje se distribuiraju različitim kanalima, uključujući društvene mreže, fišing sajtove i Googleovu zvaničnu prodavnicu aplikacija za Android.

CherryBlos je prvi put viđen u aprilu ove godine u APK fajlovima koji su reklamirani na Twitteru, Telegramu i YouTubeu kao AI alati i aplikacije za rudarenje kriptovaluta kao što su GPTalk, Happy Miner, Robot999 i SynthNet. Ova poslednja aplikacija objavljena je u Play prodavnici odakle je preuzeta oko hiljadu puta pre nego što je prijavljena i uklonjena.

CherryBlos je malver koji krade kriptovalute zloupotrebljavajući dozvole za usluge pristupačnosti koje su mu potrebne da bi preuzeo dva konfiguraciona fajla sa servera za komandu i kontrolu, automatski odobrio dodatne dozvole i sprečio korisnika da ugasi trojanizovanu aplikaciju.

Malver koristi niz taktika, ali je glavna njegova taktika za krađu akreditiva i kriptovaluta učitavanje lažnog korisničkog interfejsa legitimnih aplikacija. Ali malver takođe koristi OCR (optical character recognition) za izdvajanje teksta iz slika i fotografija sačuvanih na uređaju. Na primer, prilikom podešavanja novih novčanika za kriptovalute, korisnicima se daje fraza/lozinka za oporavak koja se sastoji od 12 ili više reči koje se mogu koristiti za oporavak novčanika. Nakon prikazivanja ovih reči, od korisnika se traži da ih zapišu i čuvaju na bezbednom mestu, jer svako ko ima ovu frazu može da je koristi i doda kripto novčanik na svoj uređaj a zatim pristupi sredstvima u njemu. Iako se ne preporučuje fotografisanje fraze za oporavak, ljudi to ipak rade, i čuvaju ovakve fotografije na svojim računarima i mobilnim uređajima.

Ako je ova funkcija malvera omogućena, on bi mogao da izdvoji frazu za oporavak sa fotografije, omogućavajući napadačima da ukradu novčanik.

Prikupljeni podaci se šalju na server pod kontrolom napadača u redovnim intervalima.

Malver funkcioniše i kao tzv. “clipper” za aplikaciju Binance, automatski menjajući adresu kripto novčanika korisnika sa onom koja je pod kontrolom napadača. Ovo omogućava napadačima da preusmere uplate poslate korisnicima na njihove sopstvene novčanike.

Istraživači kompanije Trend Micro koji su zaslužni za otkrivanje malvera CherryBlos u Play prodavnici, otkrili su i 31 aplikaciju pod zajedničkim nazivom „FakeTrade“. Ove aplikacije su koristile istu C2 mrežnu infrastrukturu i sertifikate kao i CherryBlos aplikacije.

FakeTrade aplikacije koriste teme vezane za kupovinu ili zaradu kao mamce koji navode korisnike da gledaju oglase i pristanu na premijum pretplatu, ali im nikada ne dozvoljavaju da unovče virtuelne nagrade.

Aplikacije imaju sličan interfejs i uglavnom ciljaju na korisnike u Maleziji, Vijetnamu, Indoneziji, Filipinima, Ugandi i Meksiku. Većina njih je objavljena na Google Play između 2021. i 2022. godine. Aplikacije su posle prijave uklonjene iz Play prodavnice, ali tek pošto su ih preuzele hiljade korisnika koji će morati da ih sami uklone sa svojih zaraženih uređaja.

Foto: Mika Baumeister / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Zamislite da ste negde u gradu, telefon vam pokazuje pun signal, ali vi ste zapravo povezani na lažnu mrežu koja može da vas špijunira. Zvuči kao... Dalje

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

U eri kada sve više ljudi koristi VPN servise da bi zaštitili svoju privatnost, pojavljuju se ozbiljna upozorenja da neki od tih alata, naročito ak... Dalje

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

Istraživači kompanije Kaspersky otkrili su novi mobilni malver za krađu kriptovaluta pod nazivom SparkKitty. Malver je pronađen u aplikacijama u z... Dalje

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku naz... Dalje

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina (44%) korisnika mobilnih telefona navodi da su svakodnevno izloženi prevarama i pretnjama, a većina je zabrinuta zbog gubitka važni... Dalje