Trojanac i adware se šire preko legitimne Android aplikacije

Mobilni telefoni, 01.12.2015, 01:00 AM

Trojanac i adware se šire preko legitimne Android aplikacije

Ako odjednom primetite da se na ekranu vašeg Android uređaja pojavljuju reklame, postoji mogućnost da ste uređaj inficirali adwareom.

Mobilno reklamiranje je jedan od glavnih izvora prihoda programera aplikacija. Međutim, to ne važi samo za autore legitimnih aplikacija, već i za autore malvera. Najnoviji primer za to je Android.Spy.510 koga su otkrili stručnjaci ruske kompanije Doctor Web.

Oni su otkrili i analizirali trojanizovanu verziju inače legitimne aplikacije AnonyPlayer koja ima sve funkcionalnosti legitimne aplikacije zbog čega žrtva neće posumnjati da je aplikacija pretnja koja je odgovorna za prikazivanje reklama koje se pojavljuju iznad većine pokrenutih programa.

Kada se instalira i pokrene, Android.Spy.510 prikuplja i šalje poverljive informacije sa uređaja komandno-kontrolnom serveru (C&C server), uključujući i korisničko ime i lozinku za Google Play nalog, informacije o modelu mobilnog uređaja, informacije o verziji operativnog sistema i dostupnosti administratorskog pristupa uređaju.

Trojanac zatim instalira skriveni programski paket sa malicioznim funkcijama. Da bi uspeo u tome, Android.Spy.510 prikazuje tekstualnu poruku u kojoj se korisniku nudi da instalira aplikaciju AnonyService koja navodno treba da obezbedi anonimnost korisniku i da zaštiti poverljive informacije od trećih lica. Međutim, aplikacija koja se nudi korniku je reklamni modul Adware.AnonyPlayer.1.origin.

Posle instalacije, Adware.AnonyPlayer.1.origin zahteva od žrtve da omogući korišćenje Accessibility Servise. Zatim ulazi u režim mirovanja a svoje maliciozne aktivnosti počinje da obavlja tek pošto sačeka nekoliko dana. Zbog toga je mogućnost da žrtva otkrije izvor infekcije na kompromitovanom uređaju veoma mala.

Posle toga, Adware.AnonyPlayer.1.origin započinje monitoring svih događaja na sistemu i čeka da se pokrenu neki programi. On prikazuje reklame samo kada se pokrenu neke aplikacije koje nisu na hardkodovanoj beloj listi. Tako na primer, malver neće prikazivati reklame kada korisnik otvori Settings telefona, koristi sat, kameru, kontakte, kalendar, mms, galeriju i drugo.

Svako pokretanje aplikacije koja nije na listi malvera će pokrenuti prikazivanje reklame. Zato je veroma verovatno da će žrtva misliti da je pokrenuta aplikacija odgovorna za to što iznenada vidi reklame.

Logično, da trojanizovana verzija aplikacije AnonyPlayer ne bi bila sumnjiva, reklame se ne prikazuju kada se ona pokrene.

Jedna od reklama koje se prikazuju žrtvi je poruka da je telefon možda zaražen virusom i predlog da korisnik to proveri klikom na dugme koje se nalazi u poruci.

Legitimna aplikacija AnonyPlayer i trojanizovana verzija ove aplikacije ne mogu se naći u Google Play prodavnici aplikacija, već se mogu preuzeti iz nezvaničnih prodavnica aplikacija.

Malo je verovatno da svi korisnici preuzimaju aplikacije samo iz Google Play prodavnice. Zato bi oni koji praktikuju preuzimanje aplikacija i iz drugih izvora trebalo bi da budu oprezni kada se susretnu sa zahtevom aplikacija da im omoguće da koriste Accessibility Service.

Kada maliciozna aplikacija dobije takve privilegije, ona je tako obezbedila sebi interakciju sa grafičkim interfejsom te tako može simulirati korisnikovo delovanje, ali i presretati informacije koje žrtva unosi na način na koji to rade keyloggeri. Program koji ima takve mogućnosti, može da ukrade SMS poruke, upite iz pretrage i lozinke, upozoravaju istraživači Doctor Weba.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi bankarski trojanac za Android zove se Cerberus, a njegov autor ga otvoreno reklamira na Twitteru

Novi bankarski trojanac za Android zove se Cerberus, a njegov autor ga otvoreno reklamira na Twitteru

Nakon što je nekoliko popularnih trojanaca za Android kao što su Anubis, Red Alert 2.0, GM bot i Exobot, nestalo sa scene, pojavio se novi igrač sa... Dalje

Korisnici Androida sada se mogu prijaviti na Google nalog pomoću otiska prsta

Korisnici Androida sada se mogu prijaviti na Google nalog pomoću otiska prsta

Ako koristite Chrome na Androidu, sada se možete prijaviti na svoj Google nalog i neke druge Googleove servise korišćenjem otiska prsta umesto loz... Dalje

Android aplikacije zaražene trojancem preuzete iz Google Play prodavnice više od 100 miliona puta

Android aplikacije zaražene trojancem preuzete iz Google Play prodavnice više od 100 miliona puta

Istraživači firme Doctor Web pronašli su trojanca koji je u paketu sa 33 aplikacije distribuiran preko Google Play prodavnice. Aplikacije sa trojan... Dalje

WhatsApp ima sigurnosne greške koje omogućavaju da neko zlonameran promeni vaše odgovore na poruke

WhatsApp ima sigurnosne greške koje omogućavaju da neko zlonameran promeni vaše odgovore na poruke

Istraživači Check Pointa otkrili su sigurnosne greške u WhatsAppu, Facebookovoj aplikaciji koja ima više od milijardu i po korisnika iz celog svet... Dalje

Huawei bi već ove nedelje mogao da predstavi svoju alternativu Androidu

Huawei bi već ove nedelje mogao da predstavi svoju alternativu Androidu

Kako izveštava Global Times, Huawei se sprema da objavi svoju alternativu Androidu. Kineski tehnološki gigant je ranije ove godine započeo razvoj i... Dalje