Procureli trojanac otkriven u aplikacijama na Google Play
Mobilni telefoni, 28.02.2017, 00:30 AM

Kao što su stručnjaci predvideli, izvorni kod moćnog bankarskog trojanca za Android koji je procureo sredinom decembra, sada se koristi u napadima.
Stručnjaci kompanija Doctor Web i i ESET primetili su tri kampanje u kojima učestvuje trojanac čiji je izvorni kod objavio nezadovoljni kupac na jednom ruskom hakerskom forumu 19. decembra prošle godine.
S obzirom da je od tada izvorni kod moćnog malvera dostupan svima, bilo je samo pitanje vremena kada će kriminalci iskoristiti procureli kod malvera i napraviti svoju verziju trojanca koja se širi preko malicioznih aplikacija koje su dostupne u nezvaničnim prodavnicama aplikacija.
Prvu kampanju su sredinom januara primetili stručnjaci ruske kompanije Doctor Web. Prema njihovim rečima, kriminalci su napadali samo korisnike nekoliko ruskih banaka.
Druga i treća kampanja primećene su u poslednje dve nedelje, kada su istraživači iz firme ESET otkrili dve aplikacije u Googleovoj prodavnici aplikacija Play.
Način funkcionisanja poslednje dve kampanje je isti kao i onaj na koji je funkcionisala prva kampanja. Zbog toga u ESET-u veruju da su ove kampanje delo iste grupe.
U dve poslednje kampanje, kriminalci su koristili legitimnu Android aplikaciju za vremensku prognozu u koju su ubacivali izvorni kod trojanca. Zatim bi prepakovali aplikaciju i objavljivali je na Play Store, i tako zaobilazili Googleov skener Bouncer.
Aplikacije koje su otkrili i prijavili Googleu istraživači kompanije ESET su Good Weather koja je kopija istoimene aplikacije i Weather koja je kopija aplikacije World Weather.
Za potrebe druge kampanje, u kojoj se trojanac širi preko maliciozne kopije Good Weather, kriminalci su konfigurisali trojanca tako da prikazuje lažne stranice za prijavljivanje 22 aplikacije turskih banaka.
Treća kampanja je malo sofisticiranija i cilja veći broj korisnika jer je trojanac tako konfigurisan da prikazuje stranice za prijavljivanje 69 aplikacija banaka iz Velike Britanije, Austrije, Nemačke i Turske.
Doctor Web detektuje ovog trojanca kao Android.BankBot a ESET kao Trojan.Android/Spy.Banker.
U pitanju je veoma napredna pretnja koja osim što prikazuje lažne login stranice preko legitimnih aplikacija, može i da zaključa uređaj kao ransomware, kao i da presreće SMS poruke da bi prevario sistem dvofaktorne verifikacije.
Procureli izvorni kod trojanca uključuje i kontrolni panel, koji je potreban kriminalcima da bi kontrolisali malver posle infekcije uređaja.
U ovom trenutku nije jasno da li iza sve tri kampanje stoji jedna grupa hakera.
Dobra vest je da je Google brzo reagovao na upozorenje ESET-a tako da pomenute dve maliciozne aplikacije nisu preuzete više od 10000 puta.

Izdvojeno
Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

U eri kada sve više ljudi koristi VPN servise da bi zaštitili svoju privatnost, pojavljuju se ozbiljna upozorenja da neki od tih alata, naročito ak... Dalje
U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute
.png)
Istraživači kompanije Kaspersky otkrili su novi mobilni malver za krađu kriptovaluta pod nazivom SparkKitty. Malver je pronađen u aplikacijama u z... Dalje
Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku naz... Dalje
Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina (44%) korisnika mobilnih telefona navodi da su svakodnevno izloženi prevarama i pretnjama, a većina je zabrinuta zbog gubitka važni... Dalje
Novi Android malver Crocodilus se širi u sve više zemalja

Sve je više sajber napada u kojima se koristi novi Android bankarski trojanac pod nazivom Crocodilus, a mete napada su pre svega korisnici u Evropi i... Dalje
Pratite nas
Nagrade