U Google Play prodavnici pronađene aplikacije koje su inficirale uređaje korisnika bankarskim trojancem

Mobilni telefoni, 10.03.2021, 11:00 AM

U Google Play prodavnici pronađene aplikacije koje su inficirale uređaje korisnika bankarskim trojancem

Istraživači Check Pointa otkrili su novi malver u 9 Android aplikacija distribuiranih preko Google Play prodavnice, koji inficira uređaje drugim malverima koji mogu da pristupe bankovnim računima žrtava, ali i da preuzmu potpunu kontrolu nad njihovim uređajima.

Ovaj malver dropper je nazvan Clast82. On koristi niz tehnika kako bi izbegao da ga otkrije Google Play Protect i tako uspešno završava period procene. Malver instaliran na uređaju preuzima malvere AlienBot Banker i MRAT.

Aplikacije u kojima je pronađen su Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, tooltipnatorlibrary i QRecorder. Nakon što je o ovome Google obavešten 28. januara, aplikacije su uklonjene iz Play prodavnice 9. februara.

Autori malvera pribegavaju različitim metodama kako bi zaobišli mehanizme provere u prodavnici aplikacija. Bilo da se koristi šifrovanje kojim kriju maliciozni kod od mehanizama za analizu, ili lažne verzije legitimnih aplikacija ili lažne recenzije da bi se korisnici privukli da preuzmu aplikacije, prevaranti neprestano pokušavaju da prevare Google koji sa druge strane konstantno razvija nove metode za detekciju sumnjivih aplikacija.

Podjednako je popularno i postavljanje čiste verzije aplikacije u Play prodavnici kojom se stiče poverenje korisnika, da bi zatim kasnije, u nekom trenutku, bio dodat zlonamerni kod ažuriranjem aplikacije, a nekada autori malvera koriste i taktiku odloženog pokretanja zlonamerne funkcionalnosti kako Google ne bi otkrio pravu svrhu aplikacije.

Clast82 koristi Firebase kao platformu za komandno-kontrolnu komunikaciju (C2) i GitHub za preuzimanje zlonamernog koda.

Svaka aplikacija ima različitog programera, zajedno sa repozitorijumom na GitHub nalogu, što omogućava distribuciju različitog payloada na zaražene uređaje.

U slučaju da je opcija za instaliranje aplikacija iz nepoznatih izvora isključena, Clast82 poziva korisnika svakih pet sekundi lažnim upitom „Google Play Services“ da omogući dozvolu, da bi je na kraju iskoristio za instaliranje AlienBota, Android bankarskog malvera koji krade lozinke i kodove za dvofaktornu autentifikaciju iz aplikacija banaka.

„Haker koji stoji iza Clast82 uspeo je da zaobiđe zaštitu Google Playa koristeći kreativnu, ali zabrinjavajuću metodologiju“, rekli su istraživači dodajući da su žrtve mislile da preuzimaju bezopasnu uslužnu aplikaciju iz zvanične Android prodavnice, ali da su zapravo dobile trojanca koji ugrožava njihove bankovne račune.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nova pravila Google Play prodavnice zabranjuju ometajuće reklame i lažno predstavljanje aplikacija

Nova pravila Google Play prodavnice zabranjuju ometajuće reklame i lažno predstavljanje aplikacija

Google pokušava da reši problem sa agresivnim reklamama koje se ne mogu preskočiti u Android aplikacijama i uopšte loše ponašanje programera i a... Dalje

Milioni korisnika inficirali telefone malverom iz aplikacija koje se reklamiraju na Facebooku

Milioni korisnika inficirali telefone malverom iz aplikacija koje se reklamiraju na Facebooku

Nekoliko adware aplikacija koje se agresivno promovišu na Facebooku kao čistači sistema i optimizatori za Android uređaje privukle su milione kori... Dalje

Ove Android aplikacije vam mogu ukrasti novac, deinstalirajte ih odmah sa telefona

Ove Android aplikacije vam mogu ukrasti novac, deinstalirajte ih odmah sa telefona

Istraživači iz kompanije TrendMicro otkrili su u Google Play prodavnici veći broj aplikacija u kojima je sakriven malver čiji je cilj prikupljanje... Dalje

Samsung najavio novu funkciju koja će sakriti vaše fotografije i poruke dok vam je telefon na popravci

Samsung najavio novu funkciju koja će sakriti vaše fotografije i poruke dok vam je telefon na popravci

Samsung uvodi novu zanimljivu funkciju nazvanu „Režim popravke“ (Repair Mode). Verovatno ste se bar jednom našli u situaciji da ste mora... Dalje

U Google Play prodavnici pronađene brojne aplikacije zaražene malverom

U Google Play prodavnici pronađene brojne aplikacije zaražene malverom

Proizvođač antivirusnog softvera Dr. Web prijavio je Googleu niz zlonamernih Android aplikacija u kojima je tim istraživača kompanije otkrio adwar... Dalje