Više od 300.000 korisnika inficiralo svoje Android uređaje trojancima iz Google Play prodavnice

Mobilni telefoni, 30.11.2021, 10:30 AM

Više od 300.000 Android uređaja zaraženo je bankarskim trojancima nakon što su korisnici ovih uređaja instalirali aplikacije iz zvanične Googleove Play prodavnice tokom proteklih nekoliko meseci, saopštila je kompanija za mobilnu bezbednost ThreatFabric.

Zlonamerni kod je bio sakriven u potpuno funkcionalnim aplikacijama koje su izgledale kao bezopasne uslužne aplikacije, dok su u isto vreme sajber kriminalcima obezbedile potpunu kontrolu nad zaraženim uređajima. Pored legitimne funkcionalnosti koju su nudile, ove aplikacije su imale i poseban modul koji se zove „loader“.

Loaderi su mali delovi malvera koji su skriveni u aplikacijama. Obično sadrže vrlo malo i veoma benigne funkcionalnosti, kao što je mogućnost povezivanja na server radi preuzimanja i pokretanja dodatnog koda. Ovakav dizajn im omogućava da zaobiđu provere koje obavlja bezbednosni softver. Međutim, iako loaderi (“učitavači”) imaju istu funkcionalnost kao i bilo koji modul za ažuriranje u aplikaciji, oni se obično koriste za povezivanje sa serverom napadača i preuzimanje i pokretanje zlonamernog koda, koji možda neće biti proveren toliko koliko početna instalacija aplikacije.

Zbog ovog pametnog dizajna, loaderi su stari i pouzdani mehanizam distribucije malvera na računarima od kasnih 2000-ih, a i danas se neki od najvećih svetskih botneta, kao što su Dridex, Emotet i Trickbot, oslanjaju na loader koja deluje kao početna tačka infekcije pre nego što se složeniji moduli preuzmu na zaražene sisteme.

Na tržištu mobilnih uređaja, sajber kriminalci su počeli da koriste loadere 2017. i 2018. nakon što je niz ažuriranja bezbednosnih skeniranja Google Play prodavnice otežao sakrivanje malvera u aplikacijama tokom procesa provere aplikacija pre nego što se nađu u ponudi Play prodavnice.

To je omogućilo sajber kriminalcima da postavljaju komponentu benignog izgleda unutar aplikacija koje izgledaju legitimno, pošalju aplikaciju na skeniranje, aplikacija bude prihvaćena i objavljena u Play prodavnici i da nakon toga primene pravi malver nakon što je aplikacija instalirana na uređajima korisnika.

Prvobitni Android loaderi koristili su se za skeniranje okruženja da bi otkrili emulatore Android OS-a što je bio način da se otkrije kada aplikaciju/loader proverava Bouncer, Googleovov sistem za skeniranje aplikacija Play prodavnice.

Kasniji dizajn loadera uključio je tajmer za odloženo izvršenje kako bi se sprečilo pokretanje loadera dok se testira u Bounceru.

Danas, provere Bouncera uključuju mnoštvo različitih tipova skeniranja, a poslednje je dodato prošlog meseca, u oktobru 2021. godine, kada je Gugl odlučio da ograniči kategoriju aplikacija koje mogu da dobiju pristup dozvolama koje je Google klasifikovao kao „opasne“ zbog njihove ponovljene zloupotrebe od strane grupa koje inficiraju Android uređaje malverima.

ThreatFabric kaže da izgleda da ovo novo ažuriranje uopšte nije odgovorilo sajber kriminalce od korišćenja loadera.

ThreatFabric kaže da su kriminalne grupe reagovale na najnoviju Googleovu promenu slanjem čistih aplikacija na Googleove provere, a zatim postepenim dodavanjem zlonamernog koda tokom jednog ili više ažuriranja aplikacije. Kada se ceo kod za učitavanje nađe u aplikaciji, sajber kriminalci mogu da traže od korisnika pristup opasnim dozvolama i da implementiraju malvere na zaražene uređaje.

U drugim slučajevima, neki sajber kriminalci su primenjivali payload u drugoj fazi samo na uređaje iz određenih regiona sveta, kako bi bili sigurni da će njihov malver stići samo do stvarnih korisnika, a ne do Googleovih bezbednosnih okruženja.

Neke kriminalne grupe su kreirale lažne veb sajtove za svoje aplikacije, gde su hostovale komandni i kontrolni server loadera, tako da je svaki zlonamerni kod izgledao kao legitimna komponenta sa zvanične veb stranice aplikacije.

ThreatFabric kaže da je već video četiri različita Android bankarska trojanca koji koriste ove nove taktike isporuke malvera. Na listi se nalaze bankarski trojanci poput Anatsa, Ermac, Hydra i Alien.

Kada loaderi instaliraju neki od ova četiri trojanca, oni mogu ukrasti lozinke za društvene mreže, lozinke za aplikacije za poruke, mobilno bankarstvo i aplikacije za kriptovalute. Neki od njih takođe imaju mogućnost da zaobiđu dvofaktorsku autentifikaciju zasnovanu na SMS-u i automatizuju skidanje novca sa računa korisnika.

Aplikacije koje su sadržale nove loadere koji su doveli do infekcije bankarskim trojancima su:

» Two Factor Authenticator (com.flowdivison)

» Protection Guard (com.protectionguard.app)

» QR CreatorScanner (com.ready.qrscanner.mix)

» Master Scanner Live (com.multifuction.combine.qr)

» QR Scanner 2021 (com.qr.code.generate)

» QR Scanner (com.qr.barqr.scangen)

» PDF Document (com.xaviermuches.docscannerpro2)

» Scanner - Scan to PDF

» PDF Document Scanner (com.docscanverifier.mobile)

» PDF Document Scanner Free (com.doscanner.mobile)

» CryptoTracker (cryptolistapp.app.com.cryptotracker)

» Gym and Fitness Trainer (com.gym.trainer.jeux)

Sve aplikacije su prijavljene Googleu i uklonjene iz prodavnice.