Trojanizovani adware: Malver koji se toliko teško uklanja da je jednostavnije kupiti novi telefon

Mobilni telefoni, 09.11.2015, 01:00 AM

Trojanizovani adware: Malver koji se toliko teško uklanja da je jednostavnije kupiti novi telefon

Automatsko rootovanje je zabrinjavajući razvoj u ekosistemu Androida, gde malver automatski rootuje uređaj pošto ga korisnik instalira, postavljajući se kao sistemska aplikacija koju je skoro nemoguće ukloniti, a u nekim slučajevima za žrtve je jednostavnije da kupe novi uređaj nego da pokušavaju da uklone malver sa telefona. Adware, koji je prepoznatljiv po agresivnim reklamama, sada postaje trojanizovan i sofisticiran, i to je novi trend na koji upozoravaju istraživači iz firme Lookout.

Istraživači Lookouta su pronašli 20000 primeraka ove vrste trojanizovanog adwarea maskiranog u popularne legitimne aplikacije, među kojima su Candy Crush, Facebook, GoogleNow, NYTimes, Okta, Snapchat, Twitter, WhatsApp i mnoge druge.

Sajber kriminalci koji stoje iza ovih familija malvera ubacuju maliciozni kod u hiljade popularnih aplikacija iz Google Play prodavnice, koje zatim objavljuju u alternativnim prodavnicama aplikacija.

Takve aplikacije su u potpnosti funkcionalne, i pružaju korisnicima ono što oni od njih očekuju i zbog čega su ih preuzeli. “Jedini” problem je to što one imaju dodat maliciozni kod.

Za razliku od starijih adwarea čije je prisustvo na uređaju očigledno i iritantno u toj meri da je korisnik prinuđen da ih deinstalira, nova vrsta adwarea radi u pozadini, nevidljiva za korisnika. Žrtve su uglavnom prinuđene da potraže pomoć profesionalaca ili da jednostavno kupe novi uređaj.

Rootovanje uređaja je bezbednosni rizik, jer druge aplikacije tada mogu da dobiju administratorski pristup uređaju, koji im omogućava neograničeni pristup fajlovima izvan njihovog domena. Obično aplikacijama nije dozvoljeno da pristupaju fajlovima drugih aplikacija, ali sa administratorskim pristupom, ovo ograničenje se lako zaobilazi.

Istraživači Lookouta analizirali su tri međusobno povezane familije adwarea nazvane Shuanet, Kemoge (ili ShiftyBug) i Shedun. Sve tri familije malvera se mogu svrstati u trojanizovani adware.

Ove tri familije malvera odgovorne su za više od 20000 prepakovanih legitimnih popularnih aplikacija koje su dostupne u alternativnim prodavnicama aplikacija. Jedine koje su izuzete od dodavanja malicioznog koda su antivirusne aplikacije, što ukazuje da je ova kampanja inficiranja legitimnih aplikacija malicioznim kodom pažljivo planirana.

U Lookoutu ne veruju da su ove aplikacije delo istog autora ili grupe, ali smatraju da su one na neki način povezane.

Istraživači su uspeli da nađu vezu između Shuanet, Shedun i ShiftyBug malvera. Neke varijante iz ove tri familije dele 71 do 82% koda, što znači da su autori koristili isti kod da bi napravili svoje verzije trojanizovanog adwarea. U najmanju ruku, jasno je da su autori ovih malvera bar čuli jedni za druge.

Tri familije malvera takođe dele i exploite. Da bi rootovao uređaj, svaki trojanizovani adware koristi javno dostupne exploite. ShiftyBug naprimer, dolazi u paketu sa najmanje osam njih. ShiftyBug i Shuanet koriste sledeće zajedničke exploite: Memexploit, Framaroot i ExynosAbuse. Nijedan od njih nije novi exploit, šta više, reč je o veoma popularnim exploitima.

Trojanizovani adware je iz navedenih razloga veliki problem kako za obične korisnike, tako i za firme, pa i za programere legitimnih aplikacija koji su često nepravedno okrivljeni za zlonamerne aktivnosti malvera koji je dodat njihovim aplikacijama. Ustvari, u tim slučajevima, žrtve su i korisnici aplikacija i njihovi autori.

U Lookoutu očekuju da trojanizovani adware postane još sofisticiraniji. Nekada je aware samo mogao da ubedi korisnika da instalira nove aplikacije tako što je prikazivao dosadne reklame za njih. Sada adware može da instalira aplikacije bez znanja korisnika.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android malver koji se koristi za sajber-špijunažu širi se sakriven u aplikaciji za chat

Android malver koji se koristi za sajber-špijunažu širi se sakriven u aplikaciji za chat

Istraživači kompanije TrendMicro otkrili su malver za Android uređaje koji je nazvan CallerSpy, za koji se veruje da se koristi za sajber-špijuna... Dalje

iPhone 11 Pro prikuplja podatke o lokaciji korisnika čak i kada korisnici to onemoguće

iPhone 11 Pro prikuplja podatke o lokaciji korisnika čak i kada korisnici to onemoguće

iPhone 11 Pro sa pojedinačno onemogućenim praćenjem lokacije za sve aplikacije i sistemske usluge ipak nastavlja da prikuplja informacije o lokac... Dalje

Zbog veza aplikacije sa Rusijom, Amerikanci pozvani da deinstaliraju FaceApp sa svojih uređaja

Zbog veza aplikacije sa Rusijom, Amerikanci pozvani da deinstaliraju FaceApp sa svojih uređaja

FaceApp, mobilna aplikacija koja omogućava korisnicima da prave selfije a od njih prave starije verzije sebe, smatra se „potencijalnom kontraob... Dalje

Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

U operativnom sistemu Android otkrivena je nova opasna ranjivost koja omogućava malverima da se predstavljaju kao legitimne aplikacije tako da korisn... Dalje

Indija traži reviziju WhatsAppa zbog špijuniranja korisnika

Indija traži reviziju WhatsAppa zbog špijuniranja korisnika

Indijska vlada želi da izvrši reviziju sigurnosnih sistema WhatsAppa nakon otkrića da je špijunski softver Pegasus iskoristio ranjivosti platform... Dalje