U Apple App Store pronađeno 17 aplikacija zaraženih trojancem

Mobilni telefoni, 25.10.2019, 09:30 AM

U Appleovoj App Store pronađeno je 17 iOS aplikacija zaraženih "clicker trojancem" koji u pozadini obavlja zadatke povezane sa prevarama sa reklamama.

Malver pronađen u aplikacijama komunicira sa od ranije poznatim serverom za komandu i kontolu (C2) i simulira klikove na reklame, otvarajući u pozadini web stranice, bez učešća korisnika u tom procesu.

"Cilj većine clicker trojanaca je zarada za napadača bazirana na modelu “plaćanje po kliku“ povećavanjem saobraćaja na web sajtu", objašnjavaju istraživači iz Wandera Threat Labsa. „Oni se takođe mogu koristiti za iscrpljivanje budžeta konkurenta veštačkim naduvavanjem duga prema oglasnoj mreži.“

Sve ove aplikacije delo su indijske firme AppAspect Technologies Pvt. Ltd., koja je objavila ukupno 51 aplikaciju u Apple App Store i koja takođe ima 28 Android aplikacija u Google Play Storeu.

Android aplikacije ne pokazuju nikakvo zlonamerno ponašanje vezano za C2 servere koje koriste programeri aplikacija za iOS, ali su Android aplikacije AppAspecta jednom bile uklonjene iz Googleove prodavnice zbog infekcije, da bi kasnije bile ponovo objavljene.

U ovom trenutku, istraživači kažu da nije jasno da li je programer namerno ili nenamerno dodao zlonamerni kod.

Zlonamerne iOS aplikacije su iz raznovrsnog niza kategorija.

"Testirali smo sve besplatne iTunes aplikacije ovog programera, a rezultati pokazuju da je 17 od 35 besplatnih aplikacija zaraženo istim malverom i da one komuniciraju sa istim C&C serverom", rekli su istraživači.

Istraživači su takođe objavili kompletnu listu iOS aplikacija za koje se zna da su zaražene ovim clicker trojanskim modulom. Sve aplikacije su uklonjene iz App Storea, osim My Train Info - IRCTC & PNR: RTO Vehicle Information, EMI Calculator & Loan Planner, File Manager, Smart GPS Speedometer, CrickOne - Live Cricket Scores, Daily Fitness - Yoga Poses, FM Radio PRO - Internet Radio, My Train Info - IRCTC & PNR, Around Me Place Finder, Easy Contacts Backup Manager, Ramadan Times 2019 Pro, Restaurant Finder - Find Food, BMI Calculator PRO - BMR Calc, Dual Accounts Pro, Video Editor - Mute Video, Islamic World PRO - Qibla, Smart Video Compressor.

C2 server koji ovaj trojanac koristi za komunikaciju sa svojim operaterima prvi su primetili istraživači ruske kompanije Dr. Web, kada je bio deo vrlo slične kampanje.

Malver je tada bio pronađen u 33 aplikacije koje su distribuirane preko Google Play prodavnice, a korisnici su ove aplikacije preuzeli preko 100 miliona puta pre nego što su uklonjene iz prodavnice. Nažalost, Apple App Store ne daje statistiku instalacija tako da je nemoguće znati koliko je iOS uređaja iskorišćeno u ovoj kampanji.

Trojanac nazvan Android.Click.312.origin aktivirao bi se 8 sati nakon što su aplikacije pokrenute da bi se izbeglo njegovo otkrivanje. Istraživači Dr. Weba su kasnije otkrili drugu verziju trojanca pod nazivom Android.Click.313.

Kada bi bio pokrenut na kompromitovanim Android uređajima, trojanac bi počeo da prikuplja informacije o sistemu kao što su verzija OS-a, proizvođač i model uređaja, država korisnika, vrsta internet veze, vremenska zona korisnika i informacije o aplikaciji sa trojancem clickerom. Podaci su zatim dostavljani C2 serveru koji bi odgovorao naredbama i novim modulima koji će se instalirati.

Istraživački tim Dr. Weba savetovao je tada programere da „odgovorno biraju module za unovčavanje svojih aplikacija i ne integrišu sumnjive SDK-ove u svoj softver“.

„Ovo otkriće je poslednje u nizu loših aplikacija koje se pojavljuju u zvaničnoj Appleovoj prodavnici mobilnih aplikacija i još jedan dokaz da malveri zaista utiču na iOS ekosistem“, zaključili su istraživači Wandere. „Mobilni malver i dalje je jedna od manje viđenih pretnji, ali vidimo da se sve više koristi u scenarijima ciljanih napada.“

Korisnicima se savetuje da provere da li aplikacije koje instaliraju potiču od legitimnih programera i da li imaju dobre ocene i da uvek provere da li traže više dozvola nego što im je potrebno da bi normalno radile. Wandera takođe preporučuje instaliranje mobilnog bezbednosnog rešenja koje bi sprečilo komunikaciju zlonamernih aplikacija sa njihovim C2 serverima čime štitite vaše podatke. Korišćenje sigurnosnog softvera za zaštitu vašeg uređaja može takođe drastično ograničiti funkcionalnost zlonamerne aplikacije i eliminisati barem neki njen destruktivni potencijal.