Trojanci Jocker, MobOk, Vesub i GriftHorse u aplikacijama u Google Play prodavnici

Mobilni telefoni, 10.05.2022, 11:00 AM

Istraživači iz kompanije Kaspersky otkrili su nekoliko trojanizovanih aplikacija koje preko Google Play prodavnice šire poznati malver Jocker.

Brojni trojanci krišom pretplaćuju korisnike na servise koji se plaćaju. Obično su u pitanju legitimne usluge, a prevaranti uzimaju deo naplaćene pretplate.

Korisnik koji želi da se pretplati na neku uslugu, obično treba da poseti veb sajt provajdera usluge i klikne na “pretplati se”. Trojanci kao što je Jocker mogu da simuliraju klik na “pretplati se”, ali provajderi usluga ponekad zahtevaju kod za potvrdu koji se šalje putem SMS-a. Neki servisi otežavaju automatizaciju pretplate korišćenjem CAPTCHA testa, dok drugi analiziraju saobraćaj i blokiraju pokušaje prevare. Ipak, neki malveri mogu zaobići barem neke od ovih zaštita od prevara.

Trojan.AndroidOS.Jocker može da presreće kodove poslate putem SMS poruka i da zaobiđe druga rešenja protiv prevara.

Jocker se obično širi preko Google Play prodavnice gde prevaranti preuzimaju legitimne aplikacije iz prodavnice, dodaju im zlonamerni kod i ponovo ih otpremaju u prodavnicu pod drugim imenom. Trojanizovane aplikacije u većini slučajeva ispunjavaju svoju primarnu svrhu, pa korisnici obično ne sumnjaju da su uzrok njihovih uvećanih računa.

Trojanizovane aplikacije svakodnevno se uklanjaju iz Play prodavnice ali nove zauzimaju njihovo mesto. Ne postoji neki šablon koje vrste aplikacije prevaranti biraju za sakrivanje trojanca Jocker. Istraživači su naveli primere trojanizovanih aplikacija koje su bile dostupne u Play prodavnici. U pitanju je jedan mesindžer (Style Message), aplikacija za merenje pritiska (Blood Pressure App) i aplikacija za skeneranje dokumenata pomoću kamere (Camera PDF Scanner). Ove aplikacije su uklonjene iz Google Play prodavnice, ali su i dalje dostupne u drugim prodavnicama aplikacija.

Kada se zaražena aplikacija instalira na uređaju, ona zahteva pristup porukama ako to zahteva njena legitimna funkcionalnost, na primer ako je u pitanju aplikacija za slanje poruka. U suprotnom zahteva pristup obaveštenjima. Iskačuća obaveštenja o primljenim porukama takođe sadrže tekst ovih poruka, tako da pristup obaveštenjima omogućava malveru da presretne kodove za potvrdu kako bi dovršio proces pretplate.

Podmukli trik koji koristi Jocker da zaobiđe proces provere na Google Play je taj da je njegov zlonamerni kod „uspavan“ i aktivira se tek nakon što aplikacije postanu aktivne u Play prodavnici.

Od januara 2021. do marta 2022. Jocker je najčešće napadao korisnike u Saudijskoj Arabiji (21,20%), Poljska je druga (8,98%), a Nemačka na trećem mestu (6,01%). Ostale zemlje u kojima je najviše zaraženih Android uređaja su Malezija (5,71%), Ujedinjeni Arapski Emirati (5,50%), Švajcarska (5,10%), Južna Afrika (4,12%), Austrija (3,96%), Rusija (3,53%) i Kina (2,91%).

Još jedan trojanac za pretplatu kojeg su otkrili istraživači kompanije Kaspersky je Trojan.AndroidOS.MobOk. On je prvi put otkriven u zaraženoj aplikaciji na Google Play. Međutim, ovaj malver se sada uglavnom širi kao payload drugog trojanca pod nazivom Triada, koji je prisutan u predinstaliranim aplikacijama (obično sistemskim aplikacijama) na određenim modelima pametnih telefona. Takođe je pronađen u popularnim aplikacijama, kao što je prodavnica aplikacija APKPure i popularna modifikacija WhatsAppa.

Trojan.AndroidOS.MobOk funkcioniše slično kao Jocker. Stranica za pretplatu se otvara u nevidljivom prozoru i tamo se krišom unosi kod za potvrdu ukraden iz SMS poruke. Ako MobOk preuzme Triada, on nasleđuje Triadin pristup porukama, ali ako se MobOk širi sam, tražiće pristup obaveštenjima, slično kao Jocker.

MobOk se razlikuje od Jockera po dodatnoj mogućnosti zaobilaženja CAPTCHA. Trojanac dešifruje kod prikazan na slici tako što ga šalje posebnom servisu.

Istraživači Kaspersky Laba upozorili su na još jedan malver ove vrste, malver pod nazivom Trojan.AndroidOS.Vesub koji se širi preko nezvaničnih prodavnica i imitira popularne igre i aplikacije kao što su GameBeyond, Tubemate, Minecraft, GTA5 i Vidmate. Većina ovih aplikacija nema nikakvu legitimnu funkcionalnost. Proces pretplate koji primenjuje Vesub je sličan prethodno opisanim: malver otvara nevidljivi prozor, pretplaćuje korisnika i unosi kod dobijen putem SMS poruke.

Sve ove opisane aplikacije pretplaćuju korisnike na legitimne usluge trećih strana. Međutim, postoje i malveri koji pretplate korisnike na „uslugu“ autora aplikacije.

Možete se pretplatiti na neku od ovih usluga tako što jednostavno ne pročitate pažljivo korisnički ugovor. Na primer, aplikacija Keto Plan koja je do nedavno bila dostupna na Google Play nudila je prilagođeni personalni plan za mršavljenje uz simboličnu naknadu. Sve što treba da uradite je da platite uslugu i dobijete svoj plan za mršavljenje, za koji prevaranti obećavaju da će biti poslat na vašu imejl adresu. Ako skrolujete do dna stranice, videćete da „usluga“ naplaćuje pretplatu sa automatskim obračunom. To znači da će se novac redovno skidati sa bankovnog računa korisnika, bez potrebe za ponovljenom potvrdom korisnika. To da aplikacija pretplaćuje korisnike na automatsku naplatu može se videti u odeljku recenzija na Google Play gde su se mnogi korisnici žalili da nisu mogli da otkažu pretplatu direktno preko aplikacije, dok drugi pominju da nikada nisu dobili plan za mršavljenje nakon što su platili pretplatu.

Iza ove prevare stoji Trojan.AndroidOS.GriftHorse. Istraživači Kaspersky Laba otkrili su veb sajtove koji koriste sličnu šemu pretplate ali za neke kurseve.

Da biste izbegli neželjene pretplate, izbegavajte instaliranje aplikacija iz nezvaničnih izvora, koji su najčešći izvor malvera. Budite oprezni i kada instalirate aplikacije sa Google Play: pročitajte recenzije, uslove korišćenja i plaćanja.

Čak i ako imate poverenja u aplikaciju, trebalo bi da izbegavate da joj date previše dozvola. Dozvolite pristup obaveštenjima samo aplikacijama kojima je to potrebno da bi radile ono zbog čega ste ih preuzeli. Aplikacijama poput onih za tematske pozadine ili uređivanje fotografija nije potreban pristup vašim obaveštenjima, kažu istraživači. Imajte to na umu!