Trojanci Jocker, MobOk, Vesub i GriftHorse u aplikacijama u Google Play prodavnici

Mobilni telefoni, 10.05.2022, 11:00 AM

Trojanci Jocker, MobOk, Vesub i GriftHorse u aplikacijama u Google Play prodavnici

Istraživači iz kompanije Kaspersky otkrili su nekoliko trojanizovanih aplikacija koje preko Google Play prodavnice šire poznati malver Jocker.

Brojni trojanci krišom pretplaćuju korisnike na servise koji se plaćaju. Obično su u pitanju legitimne usluge, a prevaranti uzimaju deo naplaćene pretplate.

Korisnik koji želi da se pretplati na neku uslugu, obično treba da poseti veb sajt provajdera usluge i klikne na “pretplati se”. Trojanci kao što je Jocker mogu da simuliraju klik na “pretplati se”, ali provajderi usluga ponekad zahtevaju kod za potvrdu koji se šalje putem SMS-a. Neki servisi otežavaju automatizaciju pretplate korišćenjem CAPTCHA testa, dok drugi analiziraju saobraćaj i blokiraju pokušaje prevare. Ipak, neki malveri mogu zaobići barem neke od ovih zaštita od prevara.

Trojan.AndroidOS.Jocker može da presreće kodove poslate putem SMS poruka i da zaobiđe druga rešenja protiv prevara.

Jocker se obično širi preko Google Play prodavnice gde prevaranti preuzimaju legitimne aplikacije iz prodavnice, dodaju im zlonamerni kod i ponovo ih otpremaju u prodavnicu pod drugim imenom. Trojanizovane aplikacije u većini slučajeva ispunjavaju svoju primarnu svrhu, pa korisnici obično ne sumnjaju da su uzrok njihovih uvećanih računa.

Trojanizovane aplikacije svakodnevno se uklanjaju iz Play prodavnice ali nove zauzimaju njihovo mesto. Ne postoji neki šablon koje vrste aplikacije prevaranti biraju za sakrivanje trojanca Jocker. Istraživači su naveli primere trojanizovanih aplikacija koje su bile dostupne u Play prodavnici. U pitanju je jedan mesindžer (Style Message), aplikacija za merenje pritiska (Blood Pressure App) i aplikacija za skeneranje dokumenata pomoću kamere (Camera PDF Scanner). Ove aplikacije su uklonjene iz Google Play prodavnice, ali su i dalje dostupne u drugim prodavnicama aplikacija.

Kada se zaražena aplikacija instalira na uređaju, ona zahteva pristup porukama ako to zahteva njena legitimna funkcionalnost, na primer ako je u pitanju aplikacija za slanje poruka. U suprotnom zahteva pristup obaveštenjima. Iskačuća obaveštenja o primljenim porukama takođe sadrže tekst ovih poruka, tako da pristup obaveštenjima omogućava malveru da presretne kodove za potvrdu kako bi dovršio proces pretplate.

Podmukli trik koji koristi Jocker da zaobiđe proces provere na Google Play je taj da je njegov zlonamerni kod „uspavan“ i aktivira se tek nakon što aplikacije postanu aktivne u Play prodavnici.

Od januara 2021. do marta 2022. Jocker je najčešće napadao korisnike u Saudijskoj Arabiji (21,20%), Poljska je druga (8,98%), a Nemačka na trećem mestu (6,01%). Ostale zemlje u kojima je najviše zaraženih Android uređaja su Malezija (5,71%), Ujedinjeni Arapski Emirati (5,50%), Švajcarska (5,10%), Južna Afrika (4,12%), Austrija (3,96%), Rusija (3,53%) i Kina (2,91%).

Još jedan trojanac za pretplatu kojeg su otkrili istraživači kompanije Kaspersky je Trojan.AndroidOS.MobOk. On je prvi put otkriven u zaraženoj aplikaciji na Google Play. Međutim, ovaj malver se sada uglavnom širi kao payload drugog trojanca pod nazivom Triada, koji je prisutan u predinstaliranim aplikacijama (obično sistemskim aplikacijama) na određenim modelima pametnih telefona. Takođe je pronađen u popularnim aplikacijama, kao što je prodavnica aplikacija APKPure i popularna modifikacija WhatsAppa.

Trojan.AndroidOS.MobOk funkcioniše slično kao Jocker. Stranica za pretplatu se otvara u nevidljivom prozoru i tamo se krišom unosi kod za potvrdu ukraden iz SMS poruke. Ako MobOk preuzme Triada, on nasleđuje Triadin pristup porukama, ali ako se MobOk širi sam, tražiće pristup obaveštenjima, slično kao Jocker.

MobOk se razlikuje od Jockera po dodatnoj mogućnosti zaobilaženja CAPTCHA. Trojanac dešifruje kod prikazan na slici tako što ga šalje posebnom servisu.

Istraživači Kaspersky Laba upozorili su na još jedan malver ove vrste, malver pod nazivom Trojan.AndroidOS.Vesub koji se širi preko nezvaničnih prodavnica i imitira popularne igre i aplikacije kao što su GameBeyond, Tubemate, Minecraft, GTA5 i Vidmate. Većina ovih aplikacija nema nikakvu legitimnu funkcionalnost. Proces pretplate koji primenjuje Vesub je sličan prethodno opisanim: malver otvara nevidljivi prozor, pretplaćuje korisnika i unosi kod dobijen putem SMS poruke.

Sve ove opisane aplikacije pretplaćuju korisnike na legitimne usluge trećih strana. Međutim, postoje i malveri koji pretplate korisnike na „uslugu“ autora aplikacije.

Možete se pretplatiti na neku od ovih usluga tako što jednostavno ne pročitate pažljivo korisnički ugovor. Na primer, aplikacija Keto Plan koja je do nedavno bila dostupna na Google Play nudila je prilagođeni personalni plan za mršavljenje uz simboličnu naknadu. Sve što treba da uradite je da platite uslugu i dobijete svoj plan za mršavljenje, za koji prevaranti obećavaju da će biti poslat na vašu imejl adresu. Ako skrolujete do dna stranice, videćete da „usluga“ naplaćuje pretplatu sa automatskim obračunom. To znači da će se novac redovno skidati sa bankovnog računa korisnika, bez potrebe za ponovljenom potvrdom korisnika. To da aplikacija pretplaćuje korisnike na automatsku naplatu može se videti u odeljku recenzija na Google Play gde su se mnogi korisnici žalili da nisu mogli da otkažu pretplatu direktno preko aplikacije, dok drugi pominju da nikada nisu dobili plan za mršavljenje nakon što su platili pretplatu.

Iza ove prevare stoji Trojan.AndroidOS.GriftHorse. Istraživači Kaspersky Laba otkrili su veb sajtove koji koriste sličnu šemu pretplate ali za neke kurseve.

Da biste izbegli neželjene pretplate, izbegavajte instaliranje aplikacija iz nezvaničnih izvora, koji su najčešći izvor malvera. Budite oprezni i kada instalirate aplikacije sa Google Play: pročitajte recenzije, uslove korišćenja i plaćanja.

Čak i ako imate poverenja u aplikaciju, trebalo bi da izbegavate da joj date previše dozvola. Dozvolite pristup obaveštenjima samo aplikacijama kojima je to potrebno da bi radile ono zbog čega ste ih preuzeli. Aplikacijama poput onih za tematske pozadine ili uređivanje fotografija nije potreban pristup vašim obaveštenjima, kažu istraživači. Imajte to na umu!


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nova pravila Google Play prodavnice zabranjuju ometajuće reklame i lažno predstavljanje aplikacija

Nova pravila Google Play prodavnice zabranjuju ometajuće reklame i lažno predstavljanje aplikacija

Google pokušava da reši problem sa agresivnim reklamama koje se ne mogu preskočiti u Android aplikacijama i uopšte loše ponašanje programera i a... Dalje

Milioni korisnika inficirali telefone malverom iz aplikacija koje se reklamiraju na Facebooku

Milioni korisnika inficirali telefone malverom iz aplikacija koje se reklamiraju na Facebooku

Nekoliko adware aplikacija koje se agresivno promovišu na Facebooku kao čistači sistema i optimizatori za Android uređaje privukle su milione kori... Dalje

Ove Android aplikacije vam mogu ukrasti novac, deinstalirajte ih odmah sa telefona

Ove Android aplikacije vam mogu ukrasti novac, deinstalirajte ih odmah sa telefona

Istraživači iz kompanije TrendMicro otkrili su u Google Play prodavnici veći broj aplikacija u kojima je sakriven malver čiji je cilj prikupljanje... Dalje

Samsung najavio novu funkciju koja će sakriti vaše fotografije i poruke dok vam je telefon na popravci

Samsung najavio novu funkciju koja će sakriti vaše fotografije i poruke dok vam je telefon na popravci

Samsung uvodi novu zanimljivu funkciju nazvanu „Režim popravke“ (Repair Mode). Verovatno ste se bar jednom našli u situaciji da ste mora... Dalje

U Google Play prodavnici pronađene brojne aplikacije zaražene malverom

U Google Play prodavnici pronađene brojne aplikacije zaražene malverom

Proizvođač antivirusnog softvera Dr. Web prijavio je Googleu niz zlonamernih Android aplikacija u kojima je tim istraživača kompanije otkrio adwar... Dalje