Android aplikacije zaražene trojancem preuzete iz Google Play prodavnice više od 100 miliona puta

Mobilni telefoni, 12.08.2019, 10:00 AM

Android aplikacije zaražene trojancem preuzete iz Google Play prodavnice više od 100 miliona puta

Istraživači firme Doctor Web pronašli su trojanca koji je u paketu sa 33 aplikacije distribuiran preko Google Play prodavnice. Aplikacije sa trojancem preuzete su iz Play prodavnice više od 100 miliona puta.

Malver je dizajniran kao modul dodat naizgled bezopasnim aplikacijama kao što su audio plejeri, skeneri barkodova, rečnici i druge vrste aplikacija koje većina ljudi instalira na svojim Android uređajima.

Osim što su potpuno funkcionalne, ove aplikacije ne pokazuju bilo kakvo čudno ponašanje koje je tipično za zlonamerne aplikacije, poput sakrivanja ikone nakon instalacije ili traženja previše dozvola u odnosu na zadatke koje aplikacija treba da obavlja.

Trojanac u aplikacijama je takozvani “clicker” trojanac - vrsta zlonamernog softvera koji ostaje aktivan u memoriji zaraženih uređaja i u pozadini izvršava različite zadatke vezane za prevaru sa oglasima, poput otvaranja web stranica bez znanja žrtve.

Trojanca su istraživači Doctor Weba nazvali Android.Click.312.origin.

Android.Click.312.origin se aktivira tek 8 sati nakon pokretanja aplikacija koje ga sadrže kako ne bi bio otkriven.

Tokom analize ovog trojanca, istraživači Doctor Weba otkrili su još jednu verziju malvera, koja je nazvana Android.Click.313.origin.

Nakon pokretanja na kompromitovanom Android uređaju, malver počinje da prikuplja informacije kao što su:

• verzija OS,

• proizvođač i model uređaja,

• zemlja prebivališta korisnika,

• vrsta internet veze,

• vremenska zona korisnika,

• i informacije o aplikaciji sa trojanskim modulom;

Sve ove informacije ali i druge, pakuju se i šalju na server za komandu i kontrolu malvera (C2), koji će odgovoriti komandama i novim modulima koji će se koristiti, na primer, za nadgledanje instalacije i ažuriranja aplikacija.

Kada korisnik instalira novu aplikaciju na zaraženi uređaj, trojanac će poslati informacije i tehničke podatke o uređaju i novoinstaliranoj aplikaciji na svoj C2 server koji vraća URL-ove za otvaranje u pregledaču , nevidljivom WebView ili u Play Storeu.

"U zavisnosti od postavki komandno-kontrolnog servera i instrukcija koje šalje, trojanac ne samo da može da reklamira aplikacije na Google Play, već i krišom učitava web sajtove, uključujući reklame (čak i videe) ili drugi sumnjiv sadržaj", kažu istraživači.

Neki korisnici su prijavili u Google Play prodavnici da su „automatski pretplaćeni na skupe usluge provajdera sadržaja“ nakon što su instalirali aplikacije koje sadrže Android.Click.312.origin.

Istraživači Doctor Weba prijavili su Googleu aplikacije u kojima je pronađen trojanac. Evo o kojim aplikacijama je reč:

GPS Fix

QR Code Reader

ai.type Free Emoji Keyboard

Cricket Mazza Live Line

English Urdu Dictionary Offline - Learn English

EMI Calculator - Loan & Finance Planner

Pedometer Step Counter - Fitness Tracker

Route Finder

PDF Viewer - EBook Reader

GPS Speedometer

GPS Speedometer PRO

Notepad - Text Editor

Notepad - Text Editor PRO

Who unfriended me?

Who deleted me?

GPS Route Finder & Transit: Maps Navigation Live

Muslim Prayer Times & Qibla Compass

Qibla Compass - Prayer Times, Quran, Kalma, Azan

Full Quran MP3 - 50+ Audio Translation & Languages

Al Quran Mp3 - 50 Reciters & Translation Audio

Prayer Times: Azan, Quran, Qibla Compass

Ramadan Times: Muslim Prayers, Duas, Azan & Qibla

OK Google Voice Commands (Guide)

Sikh World - Nitnem & Live Gurbani Radio

1300 Math Formulas Mega Pack

Обществознание - школьный курс. ЕГЭ и ОГЭ (Social Sciences - School Curriculum. State Uniform Examinations, Basic State Examinations.)

Bombuj - Filmy a seriály zadarmo

Video to MP3 Converter, RINGTONE Maker, MP3 Cutter

Power VPN Free VPN

Earth Live Cam - Public Webcams Online

QR & Barcode Scanner

Remove Object from Photo - Unwanted Object Remover

Cover art IRCTC Train PNR Status, NTES Rail Running Status

Google je uklonio nekoliko prijavljenih aplikacija, dok je jedan broj njih ažuriran čime je uklonjen zlonamerni modul.

Istraživački tim Doctor Weba savetovao je programerima da „odgovorno biraju module za unovčavanje svojih aplikacija i ne integrišu sumnjive SDK-ove u svoj softver“.

Više detalja o ovom trojancu možete naći na sajtu Doctor Weba.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije

Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp će blokirati skrinšotove za slike profila

WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje

Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje

Signal uveo podršku za korisnička imena u aplikaciji

Signal uveo podršku za korisnička imena u aplikaciji

Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje