Opasni bankarski trojanac u aplikacijama u Google Play prodavnici

Mobilni telefoni, 11.04.2022, 10:30 AM

Opasni bankarski trojanac u aplikacijama u Google Play prodavnici

Istraživači iz firme ThreatFabric otkrili su novog trojanca nazvanog Octo u brojnim Android aplikacijama u Google Play prodavnici koje su instalirane ukupno više od 50.000 puta.

Octo je bankarski trojanac koji je zasnovan na malveru ExoCompact. Sredinom 2021. primećen je novi malver za Android koji su proizvođači antivirusnog softvera nazvali “Coper”. Međutim, analitičari ThreatFabrica su smatrali da je novi malver “direktni potomak prilično poznate porodice malvera Exobot”.

Exobot je prvi put primećen 2016. godine, a njegov kod je zasnovan na izvornom kodu bankarskog trojanca Marcher. Exobot je do 2018. godine ciljao banke u Turskoj, Francuskoj, Nemačkoj, Australiji, na Tajlandu i u Japanu. Nakon toga se pojavila njegova “lakša” verzija koju je njen autor poznat na forumima mračnog veba kao “android” nazvao ExoCompact.

Analitičari ThreatFabrica uspeli su da povežu ExoCompact i novi malver koji je nazvan ExobotCompact.B. Najnovija verzija koja se pojavila u novembru prošle godine nazvana je ExobotCompact.D.

Istraživači ThreatFabrica su 23. januara primetili objavu na jednom forumu mračnog veba u kojoj je član foruma tražio malver Octo. Dalja analiza je otkrila direktnu vezu između malvera Octo i ExobotCompacta - ExobotCompact je ažuriran, dodato mu je nekoliko funkacija i rebrendiran je pod novim nazivom Octo, kao bankarski trojanac koji cilja banke širom sveta.

Veliko ažuriranje ExobotCompacta donelo je mogućnost daljinskog pristupa, i omogućilo kriminalcima prevare na uređaju (on-device fraud, ODF), najopasniji i najneupadljiviji vid prevare. Mehanizmi za zaštitu od ovakve prevare su slabo efikasni zbog značajno manjeg broja indikatora prevare u poređenju sa drugim vrstama prevara.

Da bi dobili daljinsku kontrolu nad uređajem, sajber kriminalcima je potreban striming ekrana da bi videli sadržaj ekrana i neki mehanizam za izvršavanje radnji na uređaju. Da bi uspostavio daljinski pristup zaraženom uređaju, ExobotCompact.D se oslanja na servise koje su deo Android OS - MediaProjection za strimovanje ekrana i AccessibilityService za daljinsko obavljanje radnji. Strimovanje ekrana sa MediaProjection je zasnovano na slanju snimaka ekrana velikom brzinom (1 u sekundi), što pruža operateru malvera realnu sliku onoga što se dešava na udaljenom uređaju.

Čineći da uređaj izgleda kao isključen malver može da obavlja različite zadatke a da žrtva to ne primeti. On prekriva ekran crnim ekranom, podešavajući osvetljenost ekrana na nulu i onemogućava sva obaveštenja. Tako malver može da oponaša dodire po ekranu, pokrete, pisanje, kopiranje podataka i pomeranje nagore i nadole. Octo može da nadgleda i snima sve što žrtva radi na zaraženom Android uređaju. Ovo uključuje unos PIN-ova, otvaranje veb sajtova, klikove i drugo.

Malver može da blokira obaveštenja iz određenih aplikacija, presreće SMS poruke, isključi zvuk i privremeno zaključa uređaj, pokreće aplikacije, pokreće i zaustavlja sesije daljinskog pristupa, ažurira listu severa za komandu i kontrolu, otvara URL-ove, šalje SMS sa određenim tekstom na određeni broj telefona itd.

Octo se prodaje na forumima, kao što je ruski hakerski forum XSS, a prodaje ga neko ko se krije iza pseudonima “Architect” ili “goodluck”. Iako je većina objava na XSS-u na ruskom, komunikacija o malveru Octo na forumu u kojoj učestvuju prodavac i potencijalni pretplatnici je na engleskom.

Zbog velike sličnosti sa ExoCompactom, uključujući i funkciju onemogućavanja Google Protecta i sistem zaštite od reverznog inženjeringa, istraživači veruju da je “Architect” autor ili vlasnik izvornog koda ExoCompacta. ExoCompact takođe ima modul za daljinski pristup, iako jednostavniji, a pruža i opcije odlaganja izvršenja komande i ima sličan admin panel kao Octo.

“Dakle, imajući u vidu ove činjenice, zaključujemo da je ExobotCompact rebrendiran u Octo Android bankovni trojanac i da ga iznajmljuje njegov vlasnik “Architect”, takođe poznat kao “goodluck”. ThreatFabric ovu varijantu prati kao ExobotCompact.D”, navodi Threat Fabric u svom izveštaju.

Među aplikacijama u kojima je sakriven Octo a koje su se našle u Google Play prodavnici je aplikacija pod nazivom “Fast Cleaner” koja je imala 50.000 instalacija do februara 2022., kada je primećena i uklonjena iz prodavnice.

Drugi način na koji se širio Octo su veb sajtovi sa lažnim obaveštenjima o ažuriranju pregledača ili lažna upozorenja o ažuriranju aplikacije Play Store.

Aplikacije u kojima je otkriven malver Octo su Pocket Screencaster, Fast Cleaner 2021, Play Store, Postbank Security, Pocket Screencaster, BAWAG PSK Security i Play Store app install .

Trojanci koji imaju module za daljinski pristup postaju sve češći, čineći robusne korake zaštite naloga, kao što su dvofaktorski kodovi, neefikasnim pošto napadači u potpunosti kontrolišu uređaje i naloge. Nakon infekcije nijedna informacija nije bezbedna, i nijedna mera zaštite delotvorna.

Da bi se zaštitili od ovakvih malvera korisnici treba da budu oprezni, a broj aplikacija instaliranih na pametnim telefonima drže na minimumu, kao i da redovno proveravaju da li je Play Protect omogućen.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android 14 će blokirati instalaciju zastarelih aplikacija

Android 14 će blokirati instalaciju zastarelih aplikacija

Sledeća verzija Androida mogla bi vas sprečiti da preuzimate i instalirate zastarele aplikacije van Google Play prodavnice. 9to5Google je primetio ... Dalje

Sa novim Android trojancem, hakeri mogu daljinski kontrolisati vaš telefon

Sa novim Android trojancem, hakeri mogu daljinski kontrolisati vaš telefon

Sajber kriminalci koji stoje iza poznatih Android bankarskih trojanaca BlackRock i ERMAC sada nude još jedan malver pod nazivom Hook, za koji kažu d... Dalje

Samsung telefoni imaju grešku koja omogućava skrivene instalacije aplikacija i prevare

Samsung telefoni imaju grešku koja omogućava skrivene instalacije aplikacija i prevare

U Samsungovoj aplikaciji Galaxy Store za Android otkrivene su dve ranjivosti koje omogućavaju lokalnim napadačima da instaliraju proizvoljne aplika... Dalje

Lažna aplikacija Telegram špijunira korisnike Androida

Lažna aplikacija Telegram špijunira korisnike Androida

Istraživači kompanije ESET otkrili su spyware (špijunski program) koji je sakriven u lažnoj verziji popularne aplikacije Telegram koja se nudi bes... Dalje

WhatsApp dobio zeleno svetlo za tužbu protiv proizvođača špijunskog softvera Pegaz

WhatsApp dobio zeleno svetlo za tužbu protiv proizvođača špijunskog softvera Pegaz

Američki Vrhovni sud dozvolio je WhatsAppu da pokrene tužbu protiv izraelske kompanije NSO Group zbog toga što je, prema tvrdnjama WhatsAppa, iskor... Dalje