Trojanac i adware se šire preko legitimne Android aplikacije

Mobilni telefoni, 01.12.2015, 01:00 AM

Trojanac i adware se šire preko legitimne Android aplikacije

Ako odjednom primetite da se na ekranu vašeg Android uređaja pojavljuju reklame, postoji mogućnost da ste uređaj inficirali adwareom.

Mobilno reklamiranje je jedan od glavnih izvora prihoda programera aplikacija. Međutim, to ne važi samo za autore legitimnih aplikacija, već i za autore malvera. Najnoviji primer za to je Android.Spy.510 koga su otkrili stručnjaci ruske kompanije Doctor Web.

Oni su otkrili i analizirali trojanizovanu verziju inače legitimne aplikacije AnonyPlayer koja ima sve funkcionalnosti legitimne aplikacije zbog čega žrtva neće posumnjati da je aplikacija pretnja koja je odgovorna za prikazivanje reklama koje se pojavljuju iznad većine pokrenutih programa.

Kada se instalira i pokrene, Android.Spy.510 prikuplja i šalje poverljive informacije sa uređaja komandno-kontrolnom serveru (C&C server), uključujući i korisničko ime i lozinku za Google Play nalog, informacije o modelu mobilnog uređaja, informacije o verziji operativnog sistema i dostupnosti administratorskog pristupa uređaju.

Trojanac zatim instalira skriveni programski paket sa malicioznim funkcijama. Da bi uspeo u tome, Android.Spy.510 prikazuje tekstualnu poruku u kojoj se korisniku nudi da instalira aplikaciju AnonyService koja navodno treba da obezbedi anonimnost korisniku i da zaštiti poverljive informacije od trećih lica. Međutim, aplikacija koja se nudi korniku je reklamni modul Adware.AnonyPlayer.1.origin.

Posle instalacije, Adware.AnonyPlayer.1.origin zahteva od žrtve da omogući korišćenje Accessibility Servise. Zatim ulazi u režim mirovanja a svoje maliciozne aktivnosti počinje da obavlja tek pošto sačeka nekoliko dana. Zbog toga je mogućnost da žrtva otkrije izvor infekcije na kompromitovanom uređaju veoma mala.

Posle toga, Adware.AnonyPlayer.1.origin započinje monitoring svih događaja na sistemu i čeka da se pokrenu neki programi. On prikazuje reklame samo kada se pokrenu neke aplikacije koje nisu na hardkodovanoj beloj listi. Tako na primer, malver neće prikazivati reklame kada korisnik otvori Settings telefona, koristi sat, kameru, kontakte, kalendar, mms, galeriju i drugo.

Svako pokretanje aplikacije koja nije na listi malvera će pokrenuti prikazivanje reklame. Zato je veroma verovatno da će žrtva misliti da je pokrenuta aplikacija odgovorna za to što iznenada vidi reklame.

Logično, da trojanizovana verzija aplikacije AnonyPlayer ne bi bila sumnjiva, reklame se ne prikazuju kada se ona pokrene.

Jedna od reklama koje se prikazuju žrtvi je poruka da je telefon možda zaražen virusom i predlog da korisnik to proveri klikom na dugme koje se nalazi u poruci.

Legitimna aplikacija AnonyPlayer i trojanizovana verzija ove aplikacije ne mogu se naći u Google Play prodavnici aplikacija, već se mogu preuzeti iz nezvaničnih prodavnica aplikacija.

Malo je verovatno da svi korisnici preuzimaju aplikacije samo iz Google Play prodavnice. Zato bi oni koji praktikuju preuzimanje aplikacija i iz drugih izvora trebalo bi da budu oprezni kada se susretnu sa zahtevom aplikacija da im omoguće da koriste Accessibility Service.

Kada maliciozna aplikacija dobije takve privilegije, ona je tako obezbedila sebi interakciju sa grafičkim interfejsom te tako može simulirati korisnikovo delovanje, ali i presretati informacije koje žrtva unosi na način na koji to rade keyloggeri. Program koji ima takve mogućnosti, može da ukrade SMS poruke, upite iz pretrage i lozinke, upozoravaju istraživači Doctor Weba.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver LightSpy inficira iPhone, evo kako se zaštititi od njega

Malver LightSpy inficira iPhone, evo kako se zaštititi od njega

U januaru ove godine, stručnjaci Kaspersky Laba su primetili tzv. “watering-hole” napade većih razmera na stanovnike Hong Konga, u kojim... Dalje

Više od 50 aplikacija za decu iz Play prodavnice korišćeno za prevaru sa oglasima

Više od 50 aplikacija za decu iz Play prodavnice korišćeno za prevaru sa oglasima

Više od 50 Android aplikacija u Google Play prodavnici koje zajedno imaju skoro milion preuzimanja a od kojih je većina namenjena deci, uhvaćene ... Dalje

Vlasti širom sveta sve više koriste podatke mobilnih telefona za praćenje epidemije COVID-19

Vlasti širom sveta sve više koriste podatke mobilnih telefona za praćenje epidemije COVID-19

Kako se novi korona virus i dalje širi svetom, sve je više vlada koje se oslanjaju na podatke mobilnih operatera kako bi pratile sve, od pacijenata ... Dalje

Izrael ima aplikaciju koja prati da li ste bili izloženi korona virusu

Izrael ima aplikaciju koja prati da li ste bili izloženi korona virusu

Izraelsko ministarstvo zdravlja objavilo je mobilnu aplikaciju pod nazivom „Štit“ koja će upozoravati korisnike ako su bili u isto vrem... Dalje

Korisnicima Googleove napredne zaštite više neće biti dozvoljeno instaliranje aplikacija koje nisu u Play prodavnici

Korisnicima Googleove napredne zaštite više neće biti dozvoljeno instaliranje aplikacija koje nisu u Play prodavnici

Google je juče najavio da proširuje zaštitu koju nudi korisnicima Androida koji su uključeni u kompanijski Program napredne zaštite (Advanced Pro... Dalje