Opasni bankarski trojanac u aplikacijama u Google Play prodavnici

Mobilni telefoni, 11.04.2022, 10:30 AM

Opasni bankarski trojanac u aplikacijama u Google Play prodavnici

Istraživači iz firme ThreatFabric otkrili su novog trojanca nazvanog Octo u brojnim Android aplikacijama u Google Play prodavnici koje su instalirane ukupno više od 50.000 puta.

Octo je bankarski trojanac koji je zasnovan na malveru ExoCompact. Sredinom 2021. primećen je novi malver za Android koji su proizvođači antivirusnog softvera nazvali “Coper”. Međutim, analitičari ThreatFabrica su smatrali da je novi malver “direktni potomak prilično poznate porodice malvera Exobot”.

Exobot je prvi put primećen 2016. godine, a njegov kod je zasnovan na izvornom kodu bankarskog trojanca Marcher. Exobot je do 2018. godine ciljao banke u Turskoj, Francuskoj, Nemačkoj, Australiji, na Tajlandu i u Japanu. Nakon toga se pojavila njegova “lakša” verzija koju je njen autor poznat na forumima mračnog veba kao “android” nazvao ExoCompact.

Analitičari ThreatFabrica uspeli su da povežu ExoCompact i novi malver koji je nazvan ExobotCompact.B. Najnovija verzija koja se pojavila u novembru prošle godine nazvana je ExobotCompact.D.

Istraživači ThreatFabrica su 23. januara primetili objavu na jednom forumu mračnog veba u kojoj je član foruma tražio malver Octo. Dalja analiza je otkrila direktnu vezu između malvera Octo i ExobotCompacta - ExobotCompact je ažuriran, dodato mu je nekoliko funkacija i rebrendiran je pod novim nazivom Octo, kao bankarski trojanac koji cilja banke širom sveta.

Veliko ažuriranje ExobotCompacta donelo je mogućnost daljinskog pristupa, i omogućilo kriminalcima prevare na uređaju (on-device fraud, ODF), najopasniji i najneupadljiviji vid prevare. Mehanizmi za zaštitu od ovakve prevare su slabo efikasni zbog značajno manjeg broja indikatora prevare u poređenju sa drugim vrstama prevara.

Da bi dobili daljinsku kontrolu nad uređajem, sajber kriminalcima je potreban striming ekrana da bi videli sadržaj ekrana i neki mehanizam za izvršavanje radnji na uređaju. Da bi uspostavio daljinski pristup zaraženom uređaju, ExobotCompact.D se oslanja na servise koje su deo Android OS - MediaProjection za strimovanje ekrana i AccessibilityService za daljinsko obavljanje radnji. Strimovanje ekrana sa MediaProjection je zasnovano na slanju snimaka ekrana velikom brzinom (1 u sekundi), što pruža operateru malvera realnu sliku onoga što se dešava na udaljenom uređaju.

Čineći da uređaj izgleda kao isključen malver može da obavlja različite zadatke a da žrtva to ne primeti. On prekriva ekran crnim ekranom, podešavajući osvetljenost ekrana na nulu i onemogućava sva obaveštenja. Tako malver može da oponaša dodire po ekranu, pokrete, pisanje, kopiranje podataka i pomeranje nagore i nadole. Octo može da nadgleda i snima sve što žrtva radi na zaraženom Android uređaju. Ovo uključuje unos PIN-ova, otvaranje veb sajtova, klikove i drugo.

Malver može da blokira obaveštenja iz određenih aplikacija, presreće SMS poruke, isključi zvuk i privremeno zaključa uređaj, pokreće aplikacije, pokreće i zaustavlja sesije daljinskog pristupa, ažurira listu severa za komandu i kontrolu, otvara URL-ove, šalje SMS sa određenim tekstom na određeni broj telefona itd.

Octo se prodaje na forumima, kao što je ruski hakerski forum XSS, a prodaje ga neko ko se krije iza pseudonima “Architect” ili “goodluck”. Iako je većina objava na XSS-u na ruskom, komunikacija o malveru Octo na forumu u kojoj učestvuju prodavac i potencijalni pretplatnici je na engleskom.

Zbog velike sličnosti sa ExoCompactom, uključujući i funkciju onemogućavanja Google Protecta i sistem zaštite od reverznog inženjeringa, istraživači veruju da je “Architect” autor ili vlasnik izvornog koda ExoCompacta. ExoCompact takođe ima modul za daljinski pristup, iako jednostavniji, a pruža i opcije odlaganja izvršenja komande i ima sličan admin panel kao Octo.

“Dakle, imajući u vidu ove činjenice, zaključujemo da je ExobotCompact rebrendiran u Octo Android bankovni trojanac i da ga iznajmljuje njegov vlasnik “Architect”, takođe poznat kao “goodluck”. ThreatFabric ovu varijantu prati kao ExobotCompact.D”, navodi Threat Fabric u svom izveštaju.

Među aplikacijama u kojima je sakriven Octo a koje su se našle u Google Play prodavnici je aplikacija pod nazivom “Fast Cleaner” koja je imala 50.000 instalacija do februara 2022., kada je primećena i uklonjena iz prodavnice.

Drugi način na koji se širio Octo su veb sajtovi sa lažnim obaveštenjima o ažuriranju pregledača ili lažna upozorenja o ažuriranju aplikacije Play Store.

Aplikacije u kojima je otkriven malver Octo su Pocket Screencaster, Fast Cleaner 2021, Play Store, Postbank Security, Pocket Screencaster, BAWAG PSK Security i Play Store app install .

Trojanci koji imaju module za daljinski pristup postaju sve češći, čineći robusne korake zaštite naloga, kao što su dvofaktorski kodovi, neefikasnim pošto napadači u potpunosti kontrolišu uređaje i naloge. Nakon infekcije nijedna informacija nije bezbedna, i nijedna mera zaštite delotvorna.

Da bi se zaštitili od ovakvih malvera korisnici treba da budu oprezni, a broj aplikacija instaliranih na pametnim telefonima drže na minimumu, kao i da redovno proveravaju da li je Play Protect omogućen.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi Android malver može da vas prisluškuje i ukrade sve sa vašeg mobilnog telefona

Novi Android malver može da vas prisluškuje i ukrade sve sa vašeg mobilnog telefona

Istraživači iz firme Zimperium otkrili su novi malver za Android pod nazivom „RatMilad“ koji se koristi za špijuniranje žrtava i krađ... Dalje

Android aplikacije znaju mnogo o vama, a više od polovine aplikacija sa Google Play deli te podatke

Android aplikacije znaju mnogo o vama, a više od polovine aplikacija sa Google Play deli te podatke

Google je prošle godine najavio novi odeljak o bezbednosti podataka u Play prodavnici. Od 20. jula, svi programeri aplikacija moraju da u okviru ovog... Dalje

Na Google Play i u App Store otkrivene brojne lažne aplikacije

Na Google Play i u App Store otkrivene brojne lažne aplikacije

Istraživači iz Satori Threat Intelligence tima kompanije HUMAN otkrili su 75 aplikacija na Google Play i još deset u Appleovoj prodavnici aplikacij... Dalje

Trojanac ''pretplatnik'' Harly sakriven u naizgled bezazlenim aplikacijama na Google Play

Trojanac ''pretplatnik'' Harly sakriven u naizgled bezazlenim aplikacijama na Google Play

Neretko se razne vrste malvera kriju iza naizgled bezopasnih aplikacija u zvaničnoj Googleovoj Play prodavnici. Iako je platforma pažljivo nadgledan... Dalje

Apple će vam omogućiti da uklonite sigurnosna ažuriranja sa telefona, ali je bolje da to ne radite

Apple će vam omogućiti da uklonite sigurnosna ažuriranja sa telefona, ali je bolje da to ne radite

Apple će omogućiti korisnicima da uklone sigurnosne zakrpe koje je instalirao sistem Rapid Security Response sistem iOS 16, koji može da instalir... Dalje