Android aplikacije zaražene trojancem preuzete iz Google Play prodavnice više od 100 miliona puta

Mobilni telefoni, 12.08.2019, 10:00 AM

Istraživači firme Doctor Web pronašli su trojanca koji je u paketu sa 33 aplikacije distribuiran preko Google Play prodavnice. Aplikacije sa trojancem preuzete su iz Play prodavnice više od 100 miliona puta.

Malver je dizajniran kao modul dodat naizgled bezopasnim aplikacijama kao što su audio plejeri, skeneri barkodova, rečnici i druge vrste aplikacija koje većina ljudi instalira na svojim Android uređajima.

Osim što su potpuno funkcionalne, ove aplikacije ne pokazuju bilo kakvo čudno ponašanje koje je tipično za zlonamerne aplikacije, poput sakrivanja ikone nakon instalacije ili traženja previše dozvola u odnosu na zadatke koje aplikacija treba da obavlja.

Trojanac u aplikacijama je takozvani “clicker” trojanac - vrsta zlonamernog softvera koji ostaje aktivan u memoriji zaraženih uređaja i u pozadini izvršava različite zadatke vezane za prevaru sa oglasima, poput otvaranja web stranica bez znanja žrtve.

Trojanca su istraživači Doctor Weba nazvali Android.Click.312.origin.

Android.Click.312.origin se aktivira tek 8 sati nakon pokretanja aplikacija koje ga sadrže kako ne bi bio otkriven.

Tokom analize ovog trojanca, istraživači Doctor Weba otkrili su još jednu verziju malvera, koja je nazvana Android.Click.313.origin.

Nakon pokretanja na kompromitovanom Android uređaju, malver počinje da prikuplja informacije kao što su:

• verzija OS,

• proizvođač i model uređaja,

• zemlja prebivališta korisnika,

• vrsta internet veze,

• vremenska zona korisnika,

• i informacije o aplikaciji sa trojanskim modulom;

Sve ove informacije ali i druge, pakuju se i šalju na server za komandu i kontrolu malvera (C2), koji će odgovoriti komandama i novim modulima koji će se koristiti, na primer, za nadgledanje instalacije i ažuriranja aplikacija.

Kada korisnik instalira novu aplikaciju na zaraženi uređaj, trojanac će poslati informacije i tehničke podatke o uređaju i novoinstaliranoj aplikaciji na svoj C2 server koji vraća URL-ove za otvaranje u pregledaču , nevidljivom WebView ili u Play Storeu.

"U zavisnosti od postavki komandno-kontrolnog servera i instrukcija koje šalje, trojanac ne samo da može da reklamira aplikacije na Google Play, već i krišom učitava web sajtove, uključujući reklame (čak i videe) ili drugi sumnjiv sadržaj", kažu istraživači.

Neki korisnici su prijavili u Google Play prodavnici da su „automatski pretplaćeni na skupe usluge provajdera sadržaja“ nakon što su instalirali aplikacije koje sadrže Android.Click.312.origin.

Istraživači Doctor Weba prijavili su Googleu aplikacije u kojima je pronađen trojanac. Evo o kojim aplikacijama je reč:

GPS Fix

QR Code Reader

ai.type Free Emoji Keyboard

Cricket Mazza Live Line

English Urdu Dictionary Offline - Learn English

EMI Calculator - Loan & Finance Planner

Pedometer Step Counter - Fitness Tracker

Route Finder

PDF Viewer - EBook Reader

GPS Speedometer

GPS Speedometer PRO

Notepad - Text Editor

Notepad - Text Editor PRO

Who unfriended me?

Who deleted me?

GPS Route Finder & Transit: Maps Navigation Live

Muslim Prayer Times & Qibla Compass

Qibla Compass - Prayer Times, Quran, Kalma, Azan

Full Quran MP3 - 50+ Audio Translation & Languages

Al Quran Mp3 - 50 Reciters & Translation Audio

Prayer Times: Azan, Quran, Qibla Compass

Ramadan Times: Muslim Prayers, Duas, Azan & Qibla

OK Google Voice Commands (Guide)

Sikh World - Nitnem & Live Gurbani Radio

1300 Math Formulas Mega Pack

Обществознание - школьный курс. ЕГЭ и ОГЭ (Social Sciences - School Curriculum. State Uniform Examinations, Basic State Examinations.)

Bombuj - Filmy a seriály zadarmo

Video to MP3 Converter, RINGTONE Maker, MP3 Cutter

Power VPN Free VPN

Earth Live Cam - Public Webcams Online

QR & Barcode Scanner

Remove Object from Photo - Unwanted Object Remover

Cover art IRCTC Train PNR Status, NTES Rail Running Status

Google je uklonio nekoliko prijavljenih aplikacija, dok je jedan broj njih ažuriran čime je uklonjen zlonamerni modul.

Istraživački tim Doctor Weba savetovao je programerima da „odgovorno biraju module za unovčavanje svojih aplikacija i ne integrišu sumnjive SDK-ove u svoj softver“.

Više detalja o ovom trojancu možete naći na sajtu Doctor Weba.