Više od 300.000 korisnika inficiralo svoje Android uređaje trojancima iz Google Play prodavnice

Mobilni telefoni, 30.11.2021, 10:30 AM

Više od 300.000 korisnika inficiralo svoje Android uređaje trojancima iz Google Play prodavnice

Više od 300.000 Android uređaja zaraženo je bankarskim trojancima nakon što su korisnici ovih uređaja instalirali aplikacije iz zvanične Googleove Play prodavnice tokom proteklih nekoliko meseci, saopštila je kompanija za mobilnu bezbednost ThreatFabric.

Zlonamerni kod je bio sakriven u potpuno funkcionalnim aplikacijama koje su izgledale kao bezopasne uslužne aplikacije, dok su u isto vreme sajber kriminalcima obezbedile potpunu kontrolu nad zaraženim uređajima. Pored legitimne funkcionalnosti koju su nudile, ove aplikacije su imale i poseban modul koji se zove „loader“.

Loaderi su mali delovi malvera koji su skriveni u aplikacijama. Obično sadrže vrlo malo i veoma benigne funkcionalnosti, kao što je mogućnost povezivanja na server radi preuzimanja i pokretanja dodatnog koda. Ovakav dizajn im omogućava da zaobiđu provere koje obavlja bezbednosni softver. Međutim, iako loaderi (“učitavači”) imaju istu funkcionalnost kao i bilo koji modul za ažuriranje u aplikaciji, oni se obično koriste za povezivanje sa serverom napadača i preuzimanje i pokretanje zlonamernog koda, koji možda neće biti proveren toliko koliko početna instalacija aplikacije.

Zbog ovog pametnog dizajna, loaderi su stari i pouzdani mehanizam distribucije malvera na računarima od kasnih 2000-ih, a i danas se neki od najvećih svetskih botneta, kao što su Dridex, Emotet i Trickbot, oslanjaju na loader koja deluje kao početna tačka infekcije pre nego što se složeniji moduli preuzmu na zaražene sisteme.

Na tržištu mobilnih uređaja, sajber kriminalci su počeli da koriste loadere 2017. i 2018. nakon što je niz ažuriranja bezbednosnih skeniranja Google Play prodavnice otežao sakrivanje malvera u aplikacijama tokom procesa provere aplikacija pre nego što se nađu u ponudi Play prodavnice.

To je omogućilo sajber kriminalcima da postavljaju komponentu benignog izgleda unutar aplikacija koje izgledaju legitimno, pošalju aplikaciju na skeniranje, aplikacija bude prihvaćena i objavljena u Play prodavnici i da nakon toga primene pravi malver nakon što je aplikacija instalirana na uređajima korisnika.

Prvobitni Android loaderi koristili su se za skeniranje okruženja da bi otkrili emulatore Android OS-a što je bio način da se otkrije kada aplikaciju/loader proverava Bouncer, Googleovov sistem za skeniranje aplikacija Play prodavnice.

Kasniji dizajn loadera uključio je tajmer za odloženo izvršenje kako bi se sprečilo pokretanje loadera dok se testira u Bounceru.

Danas, provere Bouncera uključuju mnoštvo različitih tipova skeniranja, a poslednje je dodato prošlog meseca, u oktobru 2021. godine, kada je Gugl odlučio da ograniči kategoriju aplikacija koje mogu da dobiju pristup dozvolama koje je Google klasifikovao kao „opasne“ zbog njihove ponovljene zloupotrebe od strane grupa koje inficiraju Android uređaje malverima.

ThreatFabric kaže da izgleda da ovo novo ažuriranje uopšte nije odgovorilo sajber kriminalce od korišćenja loadera.

ThreatFabric kaže da su kriminalne grupe reagovale na najnoviju Googleovu promenu slanjem čistih aplikacija na Googleove provere, a zatim postepenim dodavanjem zlonamernog koda tokom jednog ili više ažuriranja aplikacije. Kada se ceo kod za učitavanje nađe u aplikaciji, sajber kriminalci mogu da traže od korisnika pristup opasnim dozvolama i da implementiraju malvere na zaražene uređaje.

U drugim slučajevima, neki sajber kriminalci su primenjivali payload u drugoj fazi samo na uređaje iz određenih regiona sveta, kako bi bili sigurni da će njihov malver stići samo do stvarnih korisnika, a ne do Googleovih bezbednosnih okruženja.

Neke kriminalne grupe su kreirale lažne veb sajtove za svoje aplikacije, gde su hostovale komandni i kontrolni server loadera, tako da je svaki zlonamerni kod izgledao kao legitimna komponenta sa zvanične veb stranice aplikacije.

ThreatFabric kaže da je već video četiri različita Android bankarska trojanca koji koriste ove nove taktike isporuke malvera. Na listi se nalaze bankarski trojanci poput Anatsa, Ermac, Hydra i Alien.

Kada loaderi instaliraju neki od ova četiri trojanca, oni mogu ukrasti lozinke za društvene mreže, lozinke za aplikacije za poruke, mobilno bankarstvo i aplikacije za kriptovalute. Neki od njih takođe imaju mogućnost da zaobiđu dvofaktorsku autentifikaciju zasnovanu na SMS-u i automatizuju skidanje novca sa računa korisnika.

Aplikacije koje su sadržale nove loadere koji su doveli do infekcije bankarskim trojancima su:

» Two Factor Authenticator (com.flowdivison)

» Protection Guard (com.protectionguard.app)

» QR CreatorScanner (com.ready.qrscanner.mix)

» Master Scanner Live (com.multifuction.combine.qr)

» QR Scanner 2021 (com.qr.code.generate)

» QR Scanner (com.qr.barqr.scangen)

» PDF Document (com.xaviermuches.docscannerpro2)

» Scanner - Scan to PDF

» PDF Document Scanner (com.docscanverifier.mobile)

» PDF Document Scanner Free (com.doscanner.mobile)

» CryptoTracker (cryptolistapp.app.com.cryptotracker)

» Gym and Fitness Trainer (com.gym.trainer.jeux)

Sve aplikacije su prijavljene Googleu i uklonjene iz prodavnice.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi Android malver može da vas prisluškuje i ukrade sve sa vašeg mobilnog telefona

Novi Android malver može da vas prisluškuje i ukrade sve sa vašeg mobilnog telefona

Istraživači iz firme Zimperium otkrili su novi malver za Android pod nazivom „RatMilad“ koji se koristi za špijuniranje žrtava i krađ... Dalje

Android aplikacije znaju mnogo o vama, a više od polovine aplikacija sa Google Play deli te podatke

Android aplikacije znaju mnogo o vama, a više od polovine aplikacija sa Google Play deli te podatke

Google je prošle godine najavio novi odeljak o bezbednosti podataka u Play prodavnici. Od 20. jula, svi programeri aplikacija moraju da u okviru ovog... Dalje

Na Google Play i u App Store otkrivene brojne lažne aplikacije

Na Google Play i u App Store otkrivene brojne lažne aplikacije

Istraživači iz Satori Threat Intelligence tima kompanije HUMAN otkrili su 75 aplikacija na Google Play i još deset u Appleovoj prodavnici aplikacij... Dalje

Trojanac ''pretplatnik'' Harly sakriven u naizgled bezazlenim aplikacijama na Google Play

Trojanac ''pretplatnik'' Harly sakriven u naizgled bezazlenim aplikacijama na Google Play

Neretko se razne vrste malvera kriju iza naizgled bezopasnih aplikacija u zvaničnoj Googleovoj Play prodavnici. Iako je platforma pažljivo nadgledan... Dalje

Apple će vam omogućiti da uklonite sigurnosna ažuriranja sa telefona, ali je bolje da to ne radite

Apple će vam omogućiti da uklonite sigurnosna ažuriranja sa telefona, ali je bolje da to ne radite

Apple će omogućiti korisnicima da uklone sigurnosne zakrpe koje je instalirao sistem Rapid Security Response sistem iOS 16, koji može da instalir... Dalje