Trojanizovani adware: Malver koji se toliko teško uklanja da je jednostavnije kupiti novi telefon

Mobilni telefoni, 09.11.2015, 01:00 AM

Trojanizovani adware: Malver koji se toliko teško uklanja da je jednostavnije kupiti novi telefon

Automatsko rootovanje je zabrinjavajući razvoj u ekosistemu Androida, gde malver automatski rootuje uređaj pošto ga korisnik instalira, postavljajući se kao sistemska aplikacija koju je skoro nemoguće ukloniti, a u nekim slučajevima za žrtve je jednostavnije da kupe novi uređaj nego da pokušavaju da uklone malver sa telefona. Adware, koji je prepoznatljiv po agresivnim reklamama, sada postaje trojanizovan i sofisticiran, i to je novi trend na koji upozoravaju istraživači iz firme Lookout.

Istraživači Lookouta su pronašli 20000 primeraka ove vrste trojanizovanog adwarea maskiranog u popularne legitimne aplikacije, među kojima su Candy Crush, Facebook, GoogleNow, NYTimes, Okta, Snapchat, Twitter, WhatsApp i mnoge druge.

Sajber kriminalci koji stoje iza ovih familija malvera ubacuju maliciozni kod u hiljade popularnih aplikacija iz Google Play prodavnice, koje zatim objavljuju u alternativnim prodavnicama aplikacija.

Takve aplikacije su u potpnosti funkcionalne, i pružaju korisnicima ono što oni od njih očekuju i zbog čega su ih preuzeli. “Jedini” problem je to što one imaju dodat maliciozni kod.

Za razliku od starijih adwarea čije je prisustvo na uređaju očigledno i iritantno u toj meri da je korisnik prinuđen da ih deinstalira, nova vrsta adwarea radi u pozadini, nevidljiva za korisnika. Žrtve su uglavnom prinuđene da potraže pomoć profesionalaca ili da jednostavno kupe novi uređaj.

Rootovanje uređaja je bezbednosni rizik, jer druge aplikacije tada mogu da dobiju administratorski pristup uređaju, koji im omogućava neograničeni pristup fajlovima izvan njihovog domena. Obično aplikacijama nije dozvoljeno da pristupaju fajlovima drugih aplikacija, ali sa administratorskim pristupom, ovo ograničenje se lako zaobilazi.

Istraživači Lookouta analizirali su tri međusobno povezane familije adwarea nazvane Shuanet, Kemoge (ili ShiftyBug) i Shedun. Sve tri familije malvera se mogu svrstati u trojanizovani adware.

Ove tri familije malvera odgovorne su za više od 20000 prepakovanih legitimnih popularnih aplikacija koje su dostupne u alternativnim prodavnicama aplikacija. Jedine koje su izuzete od dodavanja malicioznog koda su antivirusne aplikacije, što ukazuje da je ova kampanja inficiranja legitimnih aplikacija malicioznim kodom pažljivo planirana.

U Lookoutu ne veruju da su ove aplikacije delo istog autora ili grupe, ali smatraju da su one na neki način povezane.

Istraživači su uspeli da nađu vezu između Shuanet, Shedun i ShiftyBug malvera. Neke varijante iz ove tri familije dele 71 do 82% koda, što znači da su autori koristili isti kod da bi napravili svoje verzije trojanizovanog adwarea. U najmanju ruku, jasno je da su autori ovih malvera bar čuli jedni za druge.

Tri familije malvera takođe dele i exploite. Da bi rootovao uređaj, svaki trojanizovani adware koristi javno dostupne exploite. ShiftyBug naprimer, dolazi u paketu sa najmanje osam njih. ShiftyBug i Shuanet koriste sledeće zajedničke exploite: Memexploit, Framaroot i ExynosAbuse. Nijedan od njih nije novi exploit, šta više, reč je o veoma popularnim exploitima.

Trojanizovani adware je iz navedenih razloga veliki problem kako za obične korisnike, tako i za firme, pa i za programere legitimnih aplikacija koji su često nepravedno okrivljeni za zlonamerne aktivnosti malvera koji je dodat njihovim aplikacijama. Ustvari, u tim slučajevima, žrtve su i korisnici aplikacija i njihovi autori.

U Lookoutu očekuju da trojanizovani adware postane još sofisticiraniji. Nekada je aware samo mogao da ubedi korisnika da instalira nove aplikacije tako što je prikazivao dosadne reklame za njih. Sada adware može da instalira aplikacije bez znanja korisnika.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Sajber-kriminalci za skrivanje malvera koriste aplikacije iz popularnih kategorija

Uprkos Googleovim naporima da njegova prodavnica Android aplikacija bude bez malvera, maliciozne aplikacije i dalje nekako uspevaju da prođu proces p... Dalje

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Aplikacija Signal ima bag koji omogućava prisluškivanje razgovora u okolini napadnutog uređaja

Skoro svaka aplikacija sadrži bezbednosne propuste, od kojih će neki možda biti otkriveni već danas, ali drugi će ostati nevidljivi dok ih neko n... Dalje

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Otkriven bag u popularnim Googleovim i Samsung smart telefonima koji se aktivno koristi za napade

Googleova Grupa za analizu pretnji (TAG) otkrila je novi 0-day bag u Androidu koji se uveliko koristi za napade na ranjive pametne telefone - Google P... Dalje

Google najavio nove kontrole privatnosti za YouTube, Mape i Google pomoćnika

Google najavio nove kontrole privatnosti za YouTube, Mape i Google pomoćnika

Google je najavio nove funkcije za zaštitu privatnosti koje će korisnicima omogućiti veću sigurnost i veću kontrolu nad njihovim podacima koj... Dalje

WhatsApp će vam uskoro omogućiti da šaljete poruke koje se samouništavaju

WhatsApp će vam uskoro omogućiti da šaljete poruke koje se samouništavaju

WhatsApp radi na novoj funkciji koja će korisnicima omogućiti slanje samouništavajućih poruka. Ova funkcija je trenutno u fazi razvoja i primec... Dalje