Više od 300.000 korisnika inficiralo svoje Android uređaje trojancima iz Google Play prodavnice

Mobilni telefoni, 30.11.2021, 10:30 AM

Više od 300.000 korisnika inficiralo svoje Android uređaje trojancima iz Google Play prodavnice

Više od 300.000 Android uređaja zaraženo je bankarskim trojancima nakon što su korisnici ovih uređaja instalirali aplikacije iz zvanične Googleove Play prodavnice tokom proteklih nekoliko meseci, saopštila je kompanija za mobilnu bezbednost ThreatFabric.

Zlonamerni kod je bio sakriven u potpuno funkcionalnim aplikacijama koje su izgledale kao bezopasne uslužne aplikacije, dok su u isto vreme sajber kriminalcima obezbedile potpunu kontrolu nad zaraženim uređajima. Pored legitimne funkcionalnosti koju su nudile, ove aplikacije su imale i poseban modul koji se zove „loader“.

Loaderi su mali delovi malvera koji su skriveni u aplikacijama. Obično sadrže vrlo malo i veoma benigne funkcionalnosti, kao što je mogućnost povezivanja na server radi preuzimanja i pokretanja dodatnog koda. Ovakav dizajn im omogućava da zaobiđu provere koje obavlja bezbednosni softver. Međutim, iako loaderi (“učitavači”) imaju istu funkcionalnost kao i bilo koji modul za ažuriranje u aplikaciji, oni se obično koriste za povezivanje sa serverom napadača i preuzimanje i pokretanje zlonamernog koda, koji možda neće biti proveren toliko koliko početna instalacija aplikacije.

Zbog ovog pametnog dizajna, loaderi su stari i pouzdani mehanizam distribucije malvera na računarima od kasnih 2000-ih, a i danas se neki od najvećih svetskih botneta, kao što su Dridex, Emotet i Trickbot, oslanjaju na loader koja deluje kao početna tačka infekcije pre nego što se složeniji moduli preuzmu na zaražene sisteme.

Na tržištu mobilnih uređaja, sajber kriminalci su počeli da koriste loadere 2017. i 2018. nakon što je niz ažuriranja bezbednosnih skeniranja Google Play prodavnice otežao sakrivanje malvera u aplikacijama tokom procesa provere aplikacija pre nego što se nađu u ponudi Play prodavnice.

To je omogućilo sajber kriminalcima da postavljaju komponentu benignog izgleda unutar aplikacija koje izgledaju legitimno, pošalju aplikaciju na skeniranje, aplikacija bude prihvaćena i objavljena u Play prodavnici i da nakon toga primene pravi malver nakon što je aplikacija instalirana na uređajima korisnika.

Prvobitni Android loaderi koristili su se za skeniranje okruženja da bi otkrili emulatore Android OS-a što je bio način da se otkrije kada aplikaciju/loader proverava Bouncer, Googleovov sistem za skeniranje aplikacija Play prodavnice.

Kasniji dizajn loadera uključio je tajmer za odloženo izvršenje kako bi se sprečilo pokretanje loadera dok se testira u Bounceru.

Danas, provere Bouncera uključuju mnoštvo različitih tipova skeniranja, a poslednje je dodato prošlog meseca, u oktobru 2021. godine, kada je Gugl odlučio da ograniči kategoriju aplikacija koje mogu da dobiju pristup dozvolama koje je Google klasifikovao kao „opasne“ zbog njihove ponovljene zloupotrebe od strane grupa koje inficiraju Android uređaje malverima.

ThreatFabric kaže da izgleda da ovo novo ažuriranje uopšte nije odgovorilo sajber kriminalce od korišćenja loadera.

ThreatFabric kaže da su kriminalne grupe reagovale na najnoviju Googleovu promenu slanjem čistih aplikacija na Googleove provere, a zatim postepenim dodavanjem zlonamernog koda tokom jednog ili više ažuriranja aplikacije. Kada se ceo kod za učitavanje nađe u aplikaciji, sajber kriminalci mogu da traže od korisnika pristup opasnim dozvolama i da implementiraju malvere na zaražene uređaje.

U drugim slučajevima, neki sajber kriminalci su primenjivali payload u drugoj fazi samo na uređaje iz određenih regiona sveta, kako bi bili sigurni da će njihov malver stići samo do stvarnih korisnika, a ne do Googleovih bezbednosnih okruženja.

Neke kriminalne grupe su kreirale lažne veb sajtove za svoje aplikacije, gde su hostovale komandni i kontrolni server loadera, tako da je svaki zlonamerni kod izgledao kao legitimna komponenta sa zvanične veb stranice aplikacije.

ThreatFabric kaže da je već video četiri različita Android bankarska trojanca koji koriste ove nove taktike isporuke malvera. Na listi se nalaze bankarski trojanci poput Anatsa, Ermac, Hydra i Alien.

Kada loaderi instaliraju neki od ova četiri trojanca, oni mogu ukrasti lozinke za društvene mreže, lozinke za aplikacije za poruke, mobilno bankarstvo i aplikacije za kriptovalute. Neki od njih takođe imaju mogućnost da zaobiđu dvofaktorsku autentifikaciju zasnovanu na SMS-u i automatizuju skidanje novca sa računa korisnika.

Aplikacije koje su sadržale nove loadere koji su doveli do infekcije bankarskim trojancima su:

» Two Factor Authenticator (com.flowdivison)

» Protection Guard (com.protectionguard.app)

» QR CreatorScanner (com.ready.qrscanner.mix)

» Master Scanner Live (com.multifuction.combine.qr)

» QR Scanner 2021 (com.qr.code.generate)

» QR Scanner (com.qr.barqr.scangen)

» PDF Document (com.xaviermuches.docscannerpro2)

» Scanner - Scan to PDF

» PDF Document Scanner (com.docscanverifier.mobile)

» PDF Document Scanner Free (com.doscanner.mobile)

» CryptoTracker (cryptolistapp.app.com.cryptotracker)

» Gym and Fitness Trainer (com.gym.trainer.jeux)

Sve aplikacije su prijavljene Googleu i uklonjene iz prodavnice.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zvanična aplikacija Olimpijskih igara u Pekingu je nebezbedna

Zvanična aplikacija Olimpijskih igara u Pekingu je nebezbedna

Zvanična aplikacija za Zimske olimpijske igre u Pekingu 2022. „My 2022“ je nebezbedna kada je u pitanju zaštita osetljivih podataka njen... Dalje

Mozilla pokreće program kojim želi da pokaže koliko vas prate Meta i Facebook

Mozilla pokreće program kojim želi da pokaže koliko vas prate Meta i Facebook

Proizvođač Firefoxa, Mozilla, najavila je novi program koji ima za cilj da pokaže korisnicima koliko Facebook i njegova matična kompanija Meta pra... Dalje

Mozilla uvodi ''Potpunu zaštitu od kolačića za praćenje'' u Firefox Focus za Android

Mozilla uvodi ''Potpunu zaštitu od kolačića za praćenje'' u Firefox Focus za Android

Mozillin veb pretraživač Firefox Focus sada štiti korisnike Androida od praćenja na više sajtova dok pretražuju internet tako što sprečava da... Dalje

Android malver FluBot se širi Evropom sakriven u lažnom Flash Playeru

Android malver FluBot se širi Evropom sakriven u lažnom Flash Playeru

Malver FluBot inficira Android uređaje sakriven u lažnom Flash Playeru, upozorio je F5 Labs. FluBot je bankarski trojanac za Android koji krade lozi... Dalje

Piratske aplikacije iz Samsung Galaxy Store mogu zaraziti uređaje malverima

Piratske aplikacije iz Samsung Galaxy Store mogu zaraziti uređaje malverima

U Samsungovoj prodavnici Android aplikacija, Galaxy Store, primećeno je nekoliko rizičnih aplikacija koje su pokretale upozorenja Play Protecta na u... Dalje