Reklame na renomiranim sajtovima automatski preuzimaju lažno ažuriranje za Android u kome se nalazi malver

Mobilni telefoni, 06.05.2016, 01:30 AM

Reklame na renomiranim sajtovima automatski preuzimaju lažno ažuriranje za Android u kome se nalazi malver

Stručnjaci kompanije Intel Security naišli su na maliciozne reklame na renomiranim web sajtovima koje na uređaje posetilaca automatski preuzimaju ažuriranje za Android koje krije malver nazvan Android/Dmisk.

Do infekcije dolazi kada korisnici Androida posete neke sajtove, sa kojih njihov podrazumevani browser krišom preuzima fajl Android_Update_6.apk. Stručnjaci iz Intel Security pronašli su maliciozne reklame na renomiranim sajtovima kao što su Slashdot i Android Police, zatim na francuskim informativnim portalima kao što je 20 Minutes i na nemačkim sajtovima kao što je SPON.

Sajtovi sa kojih se širi ovaj malver nisu krivi za to jer su reklame koje se prikazuju na njima pod kontrolom oglasnih mreža.

S obzirom na naziv pomenutog APK fajla većina korisnika bi pomislila da je u pitanju ažuriranje Android 6.0 Marshmallow. Pokretanje ovog fajla instalira aplikaciju Android Update 6 čija se ikona pojavljuje na ekranu, a njeno pokretanje dovodi do pokretanja malvera Dmisk. Kada se to desi, ikona nestaje sa ekrana tako da žrtva može da pomisli da aplikacija više nije na sistemu.

Dmisk je finansijski malver koji je prvi put primećen krajem prošlog meseca, mada stručnjaci iz Intel Security imaju dokaze da je masovna kampanja sa malicioznim reklamama započela još u januaru ove godine. Oni su još tada primetili da su se neki korisnici na forumima i društvenim mrežama žalili na sumnjivi fajl Android_Update_6.apk koji je automatski preuziman na njihove uređaje kada su se učitali web sajtovi koje su posetili.

Mnogi su se na forumima pitali da li je Android_Update_6.apk legitimno ažuriranje za Android. Odgovor je naravno - ne. Svaki proizvođač i mobilni operater ima svoj način isporuke i instaliranja Android ažuriranja, ali do sada niko nikada nije distribuirao ažuriranja automatskim preuzmanjem APK fajla kada korisnik poseti neki sajt. Upravo ta činjenica je naterala stručnjake iz kompanije Intel Security da detaljno istraže o čemu se ovde radi. Tako je otkriveno da je ono što se predstavlja kao ažuriranje za Android ustvari malver Dmisk.

Dmisk prikuplja informacije o uređaju koje su mu potrebne da bi uređaj bio registrovan na komandno-kontrolnom serveru malvera. Komunikacija između inficiranog uređaja i kontrolnog servera je šifrovana RSA asimetričnim enkripcijskim algoritmom. Malver serveru šalje sledeće informacije o uređaju: verzija Androida, model, proizvođač, browser, IMEI, IMSI, android_id, jezik i zemlja, mobilni provajder.

Malver zatim počinje da prati dolazne SMS poruke i da funkcioniše kao i svaki bankarski trojanac za Android.

Malver za sada cilja na korisnike online bankinga u Francuskoj, Nemačkoj i Rusiji. Istraživači su otkrili da malver koristi filtere za SMS poruke koje se šalju kontrolnom serveru, tako da na server stižu uglavnom poruke mobilnih operatera iz Rusije, Nemačke i Francuske. Autori malvera su zainteresovani baš za ove SMS poruke jer im one omogućavaju da izvedu SMS prevaru i presretanje konfirmacionih kodova koje dobijaju žrtve kada se sajber kriminalci pretplate na premium servise u ime žrtava. Malver izveštava kontrolni server i o tome da li je korisnik prisutan, a ako nije, iako je ekran isključen, server šalje malveru komandu "webClick". Sudeći po ovoj komandi, malver verovatno može u odsustvu korisnika da klikće na reklame, od čega kriminalci imaju finansijsku dobit.

Prema rečima istraživača, prethodne verzije malvera uspele su da se nađu u Googleovoj Play prodavnici oktobra prošle godine. Google je brzo reagovao i uklonio inficirane aplikacije. Sada se malver distribuira sa drugih alternativnih marketa kao što je ApkPure.

Kampanja distribucije malvera Dmisk još uvek traje, a posebno su u opasnosti korisnici Androida u Francuskoj i Nemačkoj. Istraživači iz Intel Security pratili su nove aktivnosti malvera do komandno-kontrolnih servera u Estoniji, posle čega su kontaktirali lokalne vlasti i hosting provajdera kako bi serveri bili ugašeni.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Huawei telefoni ostaju bez Androida i Googleovih aplikacija

Huawei telefoni ostaju bez Androida i Googleovih aplikacija

Google je prisiljen da odmah prekine poslovanje sa kompanijom Huawei, što će imati dramatičan uticaj na korisnike Huawei uređaja širom sveta. "Ki... Dalje

Bag u WhatsAppu korišćen za instalaciju špijunskog softvera na iPhone i Android uređajima

Bag u WhatsAppu korišćen za instalaciju špijunskog softvera na iPhone i Android uređajima

WhatsApp je ispravio sigurnosnu grešku (CVE-2019-3568) u aplikaciji koja omogućava instalaciju špijunskog softvera na Android i iPhone uređajima. ... Dalje

Google Play će vam predlagati da deinstalirate aplikacije koje ne koristite

Google Play će vam predlagati da deinstalirate aplikacije koje ne koristite

Većina nas ima gomilu aplikacija na svojim pametnim telefonima, ali činjenica je da svakodnevno koristimo samo nekoliko aplikacija, dok ostale koris... Dalje

Apple se brani od optužbi: Uklonili smo aplikacije za roditeljsku kontrolu iz sigurnosnih razloga

Apple se brani od optužbi: Uklonili smo aplikacije za roditeljsku kontrolu iz sigurnosnih razloga

Apple tvrdi da je razlog za njegovu kontroverznu odluku da povuče konkurentske aplikacije za roditeljsku kontrolu iz App Storea zaštita privatnosti ... Dalje

Android aplikacija WiFi Finder otkrila lozinke kućnih WiFi mreža korisnika

Android aplikacija WiFi Finder otkrila lozinke kućnih WiFi mreža korisnika

Hiljade korisnika aplikacije WiFi Finder, čija je svrha da pronađe i obezbedi lozinke za javne Wi-Fi pristupne tačke, nenamerno su poslali sopstven... Dalje