Novi malveri u aplikacijama na Google Play
Mobilni telefoni, 31.07.2023, 09:30 AM
![Novi malveri u aplikacijama na Google Play](/thumbs/v1_8028_mika-baumeister-QIpLrHJiv2o-unsplash.jpg)
U Google Play prodavnici primećena su dva nova malvera koji kradu akreditive za novčanike za kriptovalute. Reč je o malverima „CherryBlos“ i „FakeTrade“ koji su, sudeći po tome što koriste istu mrežnu infrastrukturu i certifikate, delo istih ljudi.
Malveri su skriveni u aplikacijama koje se distribuiraju različitim kanalima, uključujući društvene mreže, fišing sajtove i Googleovu zvaničnu prodavnicu aplikacija za Android.
CherryBlos je prvi put viđen u aprilu ove godine u APK fajlovima koji su reklamirani na Twitteru, Telegramu i YouTubeu kao AI alati i aplikacije za rudarenje kriptovaluta kao što su GPTalk, Happy Miner, Robot999 i SynthNet. Ova poslednja aplikacija objavljena je u Play prodavnici odakle je preuzeta oko hiljadu puta pre nego što je prijavljena i uklonjena.
CherryBlos je malver koji krade kriptovalute zloupotrebljavajući dozvole za usluge pristupačnosti koje su mu potrebne da bi preuzeo dva konfiguraciona fajla sa servera za komandu i kontrolu, automatski odobrio dodatne dozvole i sprečio korisnika da ugasi trojanizovanu aplikaciju.
Malver koristi niz taktika, ali je glavna njegova taktika za krađu akreditiva i kriptovaluta učitavanje lažnog korisničkog interfejsa legitimnih aplikacija. Ali malver takođe koristi OCR (optical character recognition) za izdvajanje teksta iz slika i fotografija sačuvanih na uređaju. Na primer, prilikom podešavanja novih novčanika za kriptovalute, korisnicima se daje fraza/lozinka za oporavak koja se sastoji od 12 ili više reči koje se mogu koristiti za oporavak novčanika. Nakon prikazivanja ovih reči, od korisnika se traži da ih zapišu i čuvaju na bezbednom mestu, jer svako ko ima ovu frazu može da je koristi i doda kripto novčanik na svoj uređaj a zatim pristupi sredstvima u njemu. Iako se ne preporučuje fotografisanje fraze za oporavak, ljudi to ipak rade, i čuvaju ovakve fotografije na svojim računarima i mobilnim uređajima.
Ako je ova funkcija malvera omogućena, on bi mogao da izdvoji frazu za oporavak sa fotografije, omogućavajući napadačima da ukradu novčanik.
Prikupljeni podaci se šalju na server pod kontrolom napadača u redovnim intervalima.
Malver funkcioniše i kao tzv. “clipper” za aplikaciju Binance, automatski menjajući adresu kripto novčanika korisnika sa onom koja je pod kontrolom napadača. Ovo omogućava napadačima da preusmere uplate poslate korisnicima na njihove sopstvene novčanike.
Istraživači kompanije Trend Micro koji su zaslužni za otkrivanje malvera CherryBlos u Play prodavnici, otkrili su i 31 aplikaciju pod zajedničkim nazivom „FakeTrade“. Ove aplikacije su koristile istu C2 mrežnu infrastrukturu i sertifikate kao i CherryBlos aplikacije.
FakeTrade aplikacije koriste teme vezane za kupovinu ili zaradu kao mamce koji navode korisnike da gledaju oglase i pristanu na premijum pretplatu, ali im nikada ne dozvoljavaju da unovče virtuelne nagrade.
Aplikacije imaju sličan interfejs i uglavnom ciljaju na korisnike u Maleziji, Vijetnamu, Indoneziji, Filipinima, Ugandi i Meksiku. Većina njih je objavljena na Google Play između 2021. i 2022. godine. Aplikacije su posle prijave uklonjene iz Play prodavnice, ali tek pošto su ih preuzele hiljade korisnika koji će morati da ih sami uklone sa svojih zaraženih uređaja.
Foto: Mika Baumeister / Unsplash
![GData](/s3n.jpg)
Izdvojeno
Ažurirajte Telegram na Androidu: greška u aplikaciji omogućava hakerima da vam pošalju malver maskiran u video snimak
![Ažurirajte Telegram na Androidu: greška u aplikaciji omogućava hakerima da vam pošalju malver maskiran u video snimak](/thumbs/v2_9969_pexels-viralyft-16841808 (1).jpg)
Istraživači iz kompanije ESET otkrili su ranjivost nultog dana Telegrama za Android koja omogućava napadačima da pošalju malver maskiran u video... Dalje
Više od 250 aplikacija sa Google Play koristi se za sakrivanje ''zlonamernih blizanačkih aplikacija'' i prevaru sa oglasima
![Više od 250 aplikacija sa Google Play koristi se za sakrivanje ''zlonamernih blizanačkih aplikacija'' i prevaru sa oglasima](/thumbs/v2_6758_yura-fresh-xezXEh_fIeU-unsplash (1).jpg)
Istraživači iz kompanije HUMAN Security otkrili su masovnu prevaru sa oglasima koja koristi stotine aplikacija u Google Play prodavnici koje služe ... Dalje
Nove verzije Android bankarskog trojanca Medusa šire se po svetu
![Nove verzije Android bankarskog trojanca Medusa šire se po svetu](/thumbs/v2_6084_pexels-dilek-yuksel-271240108-14398054.jpg)
Bankarski trojanac za Android pod nazivom Medusa ponovo se pojavio nakon skoro godinu dana. On se trenutno koristi za napade na uređaje korisnika u K... Dalje
Opasni trojanac Rafel RAT inficira i zaključava starije Android telefone
![Opasni trojanac Rafel RAT inficira i zaključava starije Android telefone](/thumbs/v2_3618_rami-al-zayat-w33-zg-dNL4-unsplash (4).jpg)
Sve više hakerskih grupa koristi moćnog trojanca za Android otvorenog koda pod nazivom „Rafel RAT“ za napade na starije uređaje. Neki o... Dalje
Isključujete li nekad svoj pametni telefon? Evo zašto bi to trebalo raditi barem jednom nedeljno
![Isključujete li nekad svoj pametni telefon? Evo zašto bi to trebalo raditi barem jednom nedeljno](/thumbs/v1_8793_pexels-didsss-1367229.jpg)
Isključujete li nekad svoj telefon? Ako je odgovor ne, trebalo bi da promenite to i bar jednom nedeljno isključite i uključite telefon. Ovo je samo... Dalje
Pratite nas
Nagrade