Trojanci Jocker, MobOk, Vesub i GriftHorse u aplikacijama u Google Play prodavnici

Mobilni telefoni, 10.05.2022, 11:00 AM

Trojanci Jocker, MobOk, Vesub i GriftHorse u aplikacijama u Google Play prodavnici

Istraživači iz kompanije Kaspersky otkrili su nekoliko trojanizovanih aplikacija koje preko Google Play prodavnice šire poznati malver Jocker.

Brojni trojanci krišom pretplaćuju korisnike na servise koji se plaćaju. Obično su u pitanju legitimne usluge, a prevaranti uzimaju deo naplaćene pretplate.

Korisnik koji želi da se pretplati na neku uslugu, obično treba da poseti veb sajt provajdera usluge i klikne na “pretplati se”. Trojanci kao što je Jocker mogu da simuliraju klik na “pretplati se”, ali provajderi usluga ponekad zahtevaju kod za potvrdu koji se šalje putem SMS-a. Neki servisi otežavaju automatizaciju pretplate korišćenjem CAPTCHA testa, dok drugi analiziraju saobraćaj i blokiraju pokušaje prevare. Ipak, neki malveri mogu zaobići barem neke od ovih zaštita od prevara.

Trojan.AndroidOS.Jocker može da presreće kodove poslate putem SMS poruka i da zaobiđe druga rešenja protiv prevara.

Jocker se obično širi preko Google Play prodavnice gde prevaranti preuzimaju legitimne aplikacije iz prodavnice, dodaju im zlonamerni kod i ponovo ih otpremaju u prodavnicu pod drugim imenom. Trojanizovane aplikacije u većini slučajeva ispunjavaju svoju primarnu svrhu, pa korisnici obično ne sumnjaju da su uzrok njihovih uvećanih računa.

Trojanizovane aplikacije svakodnevno se uklanjaju iz Play prodavnice ali nove zauzimaju njihovo mesto. Ne postoji neki šablon koje vrste aplikacije prevaranti biraju za sakrivanje trojanca Jocker. Istraživači su naveli primere trojanizovanih aplikacija koje su bile dostupne u Play prodavnici. U pitanju je jedan mesindžer (Style Message), aplikacija za merenje pritiska (Blood Pressure App) i aplikacija za skeneranje dokumenata pomoću kamere (Camera PDF Scanner). Ove aplikacije su uklonjene iz Google Play prodavnice, ali su i dalje dostupne u drugim prodavnicama aplikacija.

Kada se zaražena aplikacija instalira na uređaju, ona zahteva pristup porukama ako to zahteva njena legitimna funkcionalnost, na primer ako je u pitanju aplikacija za slanje poruka. U suprotnom zahteva pristup obaveštenjima. Iskačuća obaveštenja o primljenim porukama takođe sadrže tekst ovih poruka, tako da pristup obaveštenjima omogućava malveru da presretne kodove za potvrdu kako bi dovršio proces pretplate.

Podmukli trik koji koristi Jocker da zaobiđe proces provere na Google Play je taj da je njegov zlonamerni kod „uspavan“ i aktivira se tek nakon što aplikacije postanu aktivne u Play prodavnici.

Od januara 2021. do marta 2022. Jocker je najčešće napadao korisnike u Saudijskoj Arabiji (21,20%), Poljska je druga (8,98%), a Nemačka na trećem mestu (6,01%). Ostale zemlje u kojima je najviše zaraženih Android uređaja su Malezija (5,71%), Ujedinjeni Arapski Emirati (5,50%), Švajcarska (5,10%), Južna Afrika (4,12%), Austrija (3,96%), Rusija (3,53%) i Kina (2,91%).

Još jedan trojanac za pretplatu kojeg su otkrili istraživači kompanije Kaspersky je Trojan.AndroidOS.MobOk. On je prvi put otkriven u zaraženoj aplikaciji na Google Play. Međutim, ovaj malver se sada uglavnom širi kao payload drugog trojanca pod nazivom Triada, koji je prisutan u predinstaliranim aplikacijama (obično sistemskim aplikacijama) na određenim modelima pametnih telefona. Takođe je pronađen u popularnim aplikacijama, kao što je prodavnica aplikacija APKPure i popularna modifikacija WhatsAppa.

Trojan.AndroidOS.MobOk funkcioniše slično kao Jocker. Stranica za pretplatu se otvara u nevidljivom prozoru i tamo se krišom unosi kod za potvrdu ukraden iz SMS poruke. Ako MobOk preuzme Triada, on nasleđuje Triadin pristup porukama, ali ako se MobOk širi sam, tražiće pristup obaveštenjima, slično kao Jocker.

MobOk se razlikuje od Jockera po dodatnoj mogućnosti zaobilaženja CAPTCHA. Trojanac dešifruje kod prikazan na slici tako što ga šalje posebnom servisu.

Istraživači Kaspersky Laba upozorili su na još jedan malver ove vrste, malver pod nazivom Trojan.AndroidOS.Vesub koji se širi preko nezvaničnih prodavnica i imitira popularne igre i aplikacije kao što su GameBeyond, Tubemate, Minecraft, GTA5 i Vidmate. Većina ovih aplikacija nema nikakvu legitimnu funkcionalnost. Proces pretplate koji primenjuje Vesub je sličan prethodno opisanim: malver otvara nevidljivi prozor, pretplaćuje korisnika i unosi kod dobijen putem SMS poruke.

Sve ove opisane aplikacije pretplaćuju korisnike na legitimne usluge trećih strana. Međutim, postoje i malveri koji pretplate korisnike na „uslugu“ autora aplikacije.

Možete se pretplatiti na neku od ovih usluga tako što jednostavno ne pročitate pažljivo korisnički ugovor. Na primer, aplikacija Keto Plan koja je do nedavno bila dostupna na Google Play nudila je prilagođeni personalni plan za mršavljenje uz simboličnu naknadu. Sve što treba da uradite je da platite uslugu i dobijete svoj plan za mršavljenje, za koji prevaranti obećavaju da će biti poslat na vašu imejl adresu. Ako skrolujete do dna stranice, videćete da „usluga“ naplaćuje pretplatu sa automatskim obračunom. To znači da će se novac redovno skidati sa bankovnog računa korisnika, bez potrebe za ponovljenom potvrdom korisnika. To da aplikacija pretplaćuje korisnike na automatsku naplatu može se videti u odeljku recenzija na Google Play gde su se mnogi korisnici žalili da nisu mogli da otkažu pretplatu direktno preko aplikacije, dok drugi pominju da nikada nisu dobili plan za mršavljenje nakon što su platili pretplatu.

Iza ove prevare stoji Trojan.AndroidOS.GriftHorse. Istraživači Kaspersky Laba otkrili su veb sajtove koji koriste sličnu šemu pretplate ali za neke kurseve.

Da biste izbegli neželjene pretplate, izbegavajte instaliranje aplikacija iz nezvaničnih izvora, koji su najčešći izvor malvera. Budite oprezni i kada instalirate aplikacije sa Google Play: pročitajte recenzije, uslove korišćenja i plaćanja.

Čak i ako imate poverenja u aplikaciju, trebalo bi da izbegavate da joj date previše dozvola. Dozvolite pristup obaveštenjima samo aplikacijama kojima je to potrebno da bi radile ono zbog čega ste ih preuzeli. Aplikacijama poput onih za tematske pozadine ili uređivanje fotografija nije potreban pristup vašim obaveštenjima, kažu istraživači. Imajte to na umu!


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Na brojnim hakerskim forumima prodaje se novi bankarski trojanac za Android

Na brojnim hakerskim forumima prodaje se novi bankarski trojanac za Android

Na hakerskim forumima prodaje se novi bankarski trojanac za Android pod nazivom Nexus koji cilja 450 finansijskih aplikacija. Analitičari italijanske... Dalje

Googleovi istraživači upozoravaju na opasne ranjivosti Samsungovih telefona koje hakeri mogu daljinski i neprimetno hakovati

Googleovi istraživači upozoravaju na opasne ranjivosti Samsungovih telefona koje hakeri mogu daljinski i neprimetno hakovati

Project Zero, Googleov tim koji se bavi bezbednosnim istraživanjima, otkrio je ranjivosti u Samsung modemima za uređaje poput Pixel 6, Pixel 7 i Gal... Dalje

Zašto bi umesto dvofaktorne autentifikacije sa SMS-om trebalo da koristite pouzdanu aplikaciju

Zašto bi umesto dvofaktorne autentifikacije sa SMS-om trebalo da koristite pouzdanu aplikaciju

Dvofaktorska autentifikacija (2FA) postala je imperativ u današnjem digitalnom svetu, pošto su kriminalci naučili da kompromituju skoro svaku lozin... Dalje

Bankovni trojanac za Android Xenomorph se vratio sa novom verzijom, i sada je opasniji nego ikada pre

Bankovni trojanac za Android Xenomorph se vratio sa novom verzijom, i sada je opasniji nego ikada pre

Istraživači holandske kompanije ThreatFabric primetili su novu verziju bankovnog trojanca za Android Xenomorph, koju su njeni tvorci, Hadoken Securi... Dalje

Aplikacija kineskog modnog brenda Shein uhvaćena kako na Androidu radi nešto što ne bi smela

Aplikacija kineskog modnog brenda Shein uhvaćena kako na Androidu radi nešto što ne bi smela

Shein, kineski modni brend, ponovo se našao pod lupom, nakon što je otkriveno da stara verzija njegove mobilne aplikacije povremeno pristupa sadrža... Dalje