Trojanac i adware se šire preko legitimne Android aplikacije
Mobilni telefoni, 01.12.2015, 01:00 AM

Ako odjednom primetite da se na ekranu vašeg Android uređaja pojavljuju reklame, postoji mogućnost da ste uređaj inficirali adwareom.
Mobilno reklamiranje je jedan od glavnih izvora prihoda programera aplikacija. Međutim, to ne važi samo za autore legitimnih aplikacija, već i za autore malvera. Najnoviji primer za to je Android.Spy.510 koga su otkrili stručnjaci ruske kompanije Doctor Web.
Oni su otkrili i analizirali trojanizovanu verziju inače legitimne aplikacije AnonyPlayer koja ima sve funkcionalnosti legitimne aplikacije zbog čega žrtva neće posumnjati da je aplikacija pretnja koja je odgovorna za prikazivanje reklama koje se pojavljuju iznad većine pokrenutih programa.
Kada se instalira i pokrene, Android.Spy.510 prikuplja i šalje poverljive informacije sa uređaja komandno-kontrolnom serveru (C&C server), uključujući i korisničko ime i lozinku za Google Play nalog, informacije o modelu mobilnog uređaja, informacije o verziji operativnog sistema i dostupnosti administratorskog pristupa uređaju.
Trojanac zatim instalira skriveni programski paket sa malicioznim funkcijama. Da bi uspeo u tome, Android.Spy.510 prikazuje tekstualnu poruku u kojoj se korisniku nudi da instalira aplikaciju AnonyService koja navodno treba da obezbedi anonimnost korisniku i da zaštiti poverljive informacije od trećih lica. Međutim, aplikacija koja se nudi korniku je reklamni modul Adware.AnonyPlayer.1.origin.
Posle instalacije, Adware.AnonyPlayer.1.origin zahteva od žrtve da omogući korišćenje Accessibility Servise. Zatim ulazi u režim mirovanja a svoje maliciozne aktivnosti počinje da obavlja tek pošto sačeka nekoliko dana. Zbog toga je mogućnost da žrtva otkrije izvor infekcije na kompromitovanom uređaju veoma mala.
Posle toga, Adware.AnonyPlayer.1.origin započinje monitoring svih događaja na sistemu i čeka da se pokrenu neki programi. On prikazuje reklame samo kada se pokrenu neke aplikacije koje nisu na hardkodovanoj beloj listi. Tako na primer, malver neće prikazivati reklame kada korisnik otvori Settings telefona, koristi sat, kameru, kontakte, kalendar, mms, galeriju i drugo.
Svako pokretanje aplikacije koja nije na listi malvera će pokrenuti prikazivanje reklame. Zato je veroma verovatno da će žrtva misliti da je pokrenuta aplikacija odgovorna za to što iznenada vidi reklame.
Logično, da trojanizovana verzija aplikacije AnonyPlayer ne bi bila sumnjiva, reklame se ne prikazuju kada se ona pokrene.
Jedna od reklama koje se prikazuju žrtvi je poruka da je telefon možda zaražen virusom i predlog da korisnik to proveri klikom na dugme koje se nalazi u poruci.
Legitimna aplikacija AnonyPlayer i trojanizovana verzija ove aplikacije ne mogu se naći u Google Play prodavnici aplikacija, već se mogu preuzeti iz nezvaničnih prodavnica aplikacija.
Malo je verovatno da svi korisnici preuzimaju aplikacije samo iz Google Play prodavnice. Zato bi oni koji praktikuju preuzimanje aplikacija i iz drugih izvora trebalo bi da budu oprezni kada se susretnu sa zahtevom aplikacija da im omoguće da koriste Accessibility Service.
Kada maliciozna aplikacija dobije takve privilegije, ona je tako obezbedila sebi interakciju sa grafičkim interfejsom te tako može simulirati korisnikovo delovanje, ali i presretati informacije koje žrtva unosi na način na koji to rade keyloggeri. Program koji ima takve mogućnosti, može da ukrade SMS poruke, upite iz pretrage i lozinke, upozoravaju istraživači Doctor Weba.

Izdvojeno
Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Zamislite da ste negde u gradu, telefon vam pokazuje pun signal, ali vi ste zapravo povezani na lažnu mrežu koja može da vas špijunira. Zvuči kao... Dalje
Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

U eri kada sve više ljudi koristi VPN servise da bi zaštitili svoju privatnost, pojavljuju se ozbiljna upozorenja da neki od tih alata, naročito ak... Dalje
U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute
.png)
Istraživači kompanije Kaspersky otkrili su novi mobilni malver za krađu kriptovaluta pod nazivom SparkKitty. Malver je pronađen u aplikacijama u z... Dalje
Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku naz... Dalje
Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina (44%) korisnika mobilnih telefona navodi da su svakodnevno izloženi prevarama i pretnjama, a većina je zabrinuta zbog gubitka važni... Dalje
Pratite nas
Nagrade