Reklame na renomiranim sajtovima automatski preuzimaju lažno ažuriranje za Android u kome se nalazi malver

Mobilni telefoni, 06.05.2016, 01:30 AM

Reklame na renomiranim sajtovima automatski preuzimaju lažno ažuriranje za Android u kome se nalazi malver

Stručnjaci kompanije Intel Security naišli su na maliciozne reklame na renomiranim web sajtovima koje na uređaje posetilaca automatski preuzimaju ažuriranje za Android koje krije malver nazvan Android/Dmisk.

Do infekcije dolazi kada korisnici Androida posete neke sajtove, sa kojih njihov podrazumevani browser krišom preuzima fajl Android_Update_6.apk. Stručnjaci iz Intel Security pronašli su maliciozne reklame na renomiranim sajtovima kao što su Slashdot i Android Police, zatim na francuskim informativnim portalima kao što je 20 Minutes i na nemačkim sajtovima kao što je SPON.

Sajtovi sa kojih se širi ovaj malver nisu krivi za to jer su reklame koje se prikazuju na njima pod kontrolom oglasnih mreža.

S obzirom na naziv pomenutog APK fajla većina korisnika bi pomislila da je u pitanju ažuriranje Android 6.0 Marshmallow. Pokretanje ovog fajla instalira aplikaciju Android Update 6 čija se ikona pojavljuje na ekranu, a njeno pokretanje dovodi do pokretanja malvera Dmisk. Kada se to desi, ikona nestaje sa ekrana tako da žrtva može da pomisli da aplikacija više nije na sistemu.

Dmisk je finansijski malver koji je prvi put primećen krajem prošlog meseca, mada stručnjaci iz Intel Security imaju dokaze da je masovna kampanja sa malicioznim reklamama započela još u januaru ove godine. Oni su još tada primetili da su se neki korisnici na forumima i društvenim mrežama žalili na sumnjivi fajl Android_Update_6.apk koji je automatski preuziman na njihove uređaje kada su se učitali web sajtovi koje su posetili.

Mnogi su se na forumima pitali da li je Android_Update_6.apk legitimno ažuriranje za Android. Odgovor je naravno - ne. Svaki proizvođač i mobilni operater ima svoj način isporuke i instaliranja Android ažuriranja, ali do sada niko nikada nije distribuirao ažuriranja automatskim preuzmanjem APK fajla kada korisnik poseti neki sajt. Upravo ta činjenica je naterala stručnjake iz kompanije Intel Security da detaljno istraže o čemu se ovde radi. Tako je otkriveno da je ono što se predstavlja kao ažuriranje za Android ustvari malver Dmisk.

Dmisk prikuplja informacije o uređaju koje su mu potrebne da bi uređaj bio registrovan na komandno-kontrolnom serveru malvera. Komunikacija između inficiranog uređaja i kontrolnog servera je šifrovana RSA asimetričnim enkripcijskim algoritmom. Malver serveru šalje sledeće informacije o uređaju: verzija Androida, model, proizvođač, browser, IMEI, IMSI, android_id, jezik i zemlja, mobilni provajder.

Malver zatim počinje da prati dolazne SMS poruke i da funkcioniše kao i svaki bankarski trojanac za Android.

Malver za sada cilja na korisnike online bankinga u Francuskoj, Nemačkoj i Rusiji. Istraživači su otkrili da malver koristi filtere za SMS poruke koje se šalju kontrolnom serveru, tako da na server stižu uglavnom poruke mobilnih operatera iz Rusije, Nemačke i Francuske. Autori malvera su zainteresovani baš za ove SMS poruke jer im one omogućavaju da izvedu SMS prevaru i presretanje konfirmacionih kodova koje dobijaju žrtve kada se sajber kriminalci pretplate na premium servise u ime žrtava. Malver izveštava kontrolni server i o tome da li je korisnik prisutan, a ako nije, iako je ekran isključen, server šalje malveru komandu "webClick". Sudeći po ovoj komandi, malver verovatno može u odsustvu korisnika da klikće na reklame, od čega kriminalci imaju finansijsku dobit.

Prema rečima istraživača, prethodne verzije malvera uspele su da se nađu u Googleovoj Play prodavnici oktobra prošle godine. Google je brzo reagovao i uklonio inficirane aplikacije. Sada se malver distribuira sa drugih alternativnih marketa kao što je ApkPure.

Kampanja distribucije malvera Dmisk još uvek traje, a posebno su u opasnosti korisnici Androida u Francuskoj i Nemačkoj. Istraživači iz Intel Security pratili su nove aktivnosti malvera do komandno-kontrolnih servera u Estoniji, posle čega su kontaktirali lokalne vlasti i hosting provajdera kako bi serveri bili ugašeni.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje