Novi trojanac za Android ostavlja lažne recenzije, instalira aplikacije i teroriše korisnike reklamama
Mobilni telefoni, 10.01.2020, 02:30 AM
Da li ste primetili recenzije aplikacija u Google Play prodavnici koje upadljivo odudaraju od većine? U moru loših recenzija na desetine nezadovoljnih korisnika neke aplikacije, u oči upadaju pozitivne recenzije sa pet zvezdica, koje u nekim slučajevima izgledaju kao da govore o nekoj drugoj aplikaciji.
Sajber-kriminalci koriste Trojan-Dropper.AndroidOS.Shopper.a da bi poboljšali rejting određenih aplikacija i povećali broj instalacija i registracija, varajući tako i korisnike i oglašivače. Pored toga, Trojan-Dropper.AndroidOS.Shopper.a koga su otkrili istraživači kompanije Kaspersky teroriše korisnike reklamama koje prikazuje na zaraženim uređajima.
Trojan-Dropper.AndroidOS.Shopper.a. može da otvori aplikaciju Google Play (ili neku drugu prodavnicu aplikacija), instalira druge aplikacije i ostavi lažne recenzije o njima. Da korisnik ne bi primetio ništa, prozor za instalaciju je sakriven pomoću nevidljivog prozora aplikacije. To što na uređaju možda nije dozvoljena instalacija aplikacija iz drugih izvora nije prepreka za trojanca - on sebi daje potrebne dozvole preko Usluge pristupačnosti (AccessibilityService). Google je uveo ovu uslugu da bi olakšao upotrebu pametnih telefona osobama sa invaliditetom, ali u rukama sajber-kriminalaca ona predstavlja ozbiljnu pretnju za vlasnike uređaja. Uz dozvolu za njeno korišćenje, malver ima gotovo neograničene mogućnosti za interakciju sa sistemskim interfejsom i aplikacijama. Na primer, on može presresti podatke prikazane na ekranu, kliknuti na dugmad i oponašati korisničke pokrete.
Malver se maskira u sistemsku aplikaciju i koristi sistemsku ikonu i naziv ConfigAPKs kako bi se sakrio od korisnika.
Trojan-Dropper.AndroidOS.Shopper.a je najrasprostranjeniji u Rusiji, gde je najviše zaraženih uređaja (28,46%). Drugo mesto pripalo je Brazilu (18,70%), a treće Indiji (14,23%) ).
Nakon otključavanja ekrana, aplikacija se pokreće, prikuplja informacije o uređaju žrtve i šalje ih na server napadača.
Server vraća komande za pokretanje aplikacije. U zavisnosti od komande, aplikacija može da:
• otvara linkove koje je dobila od servera u nevidljivom prozoru;
• nakon određenog broja otključavanja ekrana, sakrije se iz menija aplikacija;
• proveri prava korišćenja usluge pristupačnosti. Ukoliko dozvola nije data, ona šalje fišing zahtev za nju;
• isključi Google Play Protect, funkciju koja pokreće bezbednosne provere aplikacija iz Google Play prodavnice pre preuzimanja;
• kreira prečice za reklamne sajtove;
• preuzima aplikacije sa Aokpure[.]com “marketa” i instalira ih;
• otvara reklamirane aplikacije na Google Play i instalira ih;
• ostavlja recenzije aplikacija u Google Play prodavnici u ime vlasnika uređaja;
• zameni prečice instaliranih aplikacija prečicama za reklamne sajtove;
• prikazuje reklame kada je ekran otključan;
• koristi Google ili Facebook nalog vlasnika uređaja kako bi se registrovala na popularne aplikacije za kupovinu i zabavu, uključujući AliExpress, Lazada, Zalora, Shein, Joom, Likee i Alibaba;
Kako bi se smanjio rizik od infekcije malverom poput ovog, korisnicima se savetuje da:
• paze na aplikacije koje zahtevaju upotrebu Usluge pristupačnosti ukoliko aplikacija ne bi trebalo da se koristi uz ovu funkciju;
• uvek provere dozvole aplikacija kako bi videli šta instalirane aplikacije mogu da rade;
• ne instaliraju aplikacije iz nepouzdanih izvora, i blokiraju instalaciju programa iz nepoznatih izvora u podešavanjima pametnog telefona;
Više o malveru Shopper možete naći na blogu kompanije Kaspersky, Securelist.com.
Izdvojeno
Bankarski malver sakriven u antivirusnoj aplikaciji
Istraživači kompanije Fox-IT otkrili su novu verziju bankarskog trojanca „Vultur“ za Android koja u odnosu na ranije verzije ima napredn... Dalje
Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije
Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje
WhatsApp će blokirati skrinšotove za slike profila
WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje
Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje
Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje
Signal uveo podršku za korisnička imena u aplikaciji
Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje
Pratite nas
Nagrade