Novi malveri u aplikacijama na Google Play

Mobilni telefoni, 31.07.2023, 09:30 AM

Novi malveri u aplikacijama na Google Play

U Google Play prodavnici primećena su dva nova malvera koji kradu akreditive za novčanike za kriptovalute. Reč je o malverima „CherryBlos“ i „FakeTrade“ koji su, sudeći po tome što koriste istu mrežnu infrastrukturu i certifikate, delo istih ljudi.

Malveri su skriveni u aplikacijama koje se distribuiraju različitim kanalima, uključujući društvene mreže, fišing sajtove i Googleovu zvaničnu prodavnicu aplikacija za Android.

CherryBlos je prvi put viđen u aprilu ove godine u APK fajlovima koji su reklamirani na Twitteru, Telegramu i YouTubeu kao AI alati i aplikacije za rudarenje kriptovaluta kao što su GPTalk, Happy Miner, Robot999 i SynthNet. Ova poslednja aplikacija objavljena je u Play prodavnici odakle je preuzeta oko hiljadu puta pre nego što je prijavljena i uklonjena.

CherryBlos je malver koji krade kriptovalute zloupotrebljavajući dozvole za usluge pristupačnosti koje su mu potrebne da bi preuzeo dva konfiguraciona fajla sa servera za komandu i kontrolu, automatski odobrio dodatne dozvole i sprečio korisnika da ugasi trojanizovanu aplikaciju.

Malver koristi niz taktika, ali je glavna njegova taktika za krađu akreditiva i kriptovaluta učitavanje lažnog korisničkog interfejsa legitimnih aplikacija. Ali malver takođe koristi OCR (optical character recognition) za izdvajanje teksta iz slika i fotografija sačuvanih na uređaju. Na primer, prilikom podešavanja novih novčanika za kriptovalute, korisnicima se daje fraza/lozinka za oporavak koja se sastoji od 12 ili više reči koje se mogu koristiti za oporavak novčanika. Nakon prikazivanja ovih reči, od korisnika se traži da ih zapišu i čuvaju na bezbednom mestu, jer svako ko ima ovu frazu može da je koristi i doda kripto novčanik na svoj uređaj a zatim pristupi sredstvima u njemu. Iako se ne preporučuje fotografisanje fraze za oporavak, ljudi to ipak rade, i čuvaju ovakve fotografije na svojim računarima i mobilnim uređajima.

Ako je ova funkcija malvera omogućena, on bi mogao da izdvoji frazu za oporavak sa fotografije, omogućavajući napadačima da ukradu novčanik.

Prikupljeni podaci se šalju na server pod kontrolom napadača u redovnim intervalima.

Malver funkcioniše i kao tzv. “clipper” za aplikaciju Binance, automatski menjajući adresu kripto novčanika korisnika sa onom koja je pod kontrolom napadača. Ovo omogućava napadačima da preusmere uplate poslate korisnicima na njihove sopstvene novčanike.

Istraživači kompanije Trend Micro koji su zaslužni za otkrivanje malvera CherryBlos u Play prodavnici, otkrili su i 31 aplikaciju pod zajedničkim nazivom „FakeTrade“. Ove aplikacije su koristile istu C2 mrežnu infrastrukturu i sertifikate kao i CherryBlos aplikacije.

FakeTrade aplikacije koriste teme vezane za kupovinu ili zaradu kao mamce koji navode korisnike da gledaju oglase i pristanu na premijum pretplatu, ali im nikada ne dozvoljavaju da unovče virtuelne nagrade.

Aplikacije imaju sličan interfejs i uglavnom ciljaju na korisnike u Maleziji, Vijetnamu, Indoneziji, Filipinima, Ugandi i Meksiku. Većina njih je objavljena na Google Play između 2021. i 2022. godine. Aplikacije su posle prijave uklonjene iz Play prodavnice, ali tek pošto su ih preuzele hiljade korisnika koji će morati da ih sami uklone sa svojih zaraženih uređaja.

Foto: Mika Baumeister / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bankarski malver sakriven u antivirusnoj aplikaciji

Bankarski malver sakriven u antivirusnoj aplikaciji

Istraživači kompanije Fox-IT otkrili su novu verziju bankarskog trojanca „Vultur“ za Android koja u odnosu na ranije verzije ima napredn... Dalje

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje

Signal uveo podršku za korisnička imena u aplikaciji

Signal uveo podršku za korisnička imena u aplikaciji

Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje