Android malveri otkriveni u Google Play prodavnici

Mobilni telefoni, 31.10.2022, 01:00 AM

U Google Play prodavnici otkriveno je pet aplikacija koje na uređaje korisnika instaliraju bankarske trojance sakrivene u ažuriranjima aplikacija.

Ove aplikacije (“dropper”) su specifične po tome što ne sadrže zlonamerni kod tako da lakše prolaze skenere Google Play prodavnice. Takve aplikacije nisu sumnjive ni korisnicima jer rade ono zbog čega su ih preuzeli, dok se ono čemu zapravo služe odvija iza scene.

Istraživači iz Threat Fabrica, koji su otkrili ove droppere, primetili su povećanu upotrebu ove vrste zlonamernih aplikacija u distribuciji malvera za Android upravo zato što oni omogućavaju nevidljivo inficiranje uređaja.

Ovo je važno s obzirom na sve veća ograničenja i zaštitne mere koje se uvode sa svakom novom verzijom Androida, koje sprečavaju malvere da zloupotrebljavaju dozvole, preuzimaju zlonamerne module ili zloupotrebljavaju uslugu pristupačnosti.

Prva kampanja koju je primetio Threat Fabric početkom oktobra, inficira uređaje bankarskim trojancem SharkBot. SharkBot je malver za Android koji može da ukrade podatke za prijavu preko lažnih zahteva za prijavu koji prekrivaju legitimne obrasce za prijavu na veb sajtove. SharkBot funkcioniše i kao keylogger, a može i da krade i sakriva SMS poruke i preuzme daljinsku kontrolu nad mobilnim uređajem.

Istraživači su otkrili dve naizgled bezopasne dropper aplikacije, “Codice Fiscale 2022” i “File Manager Small, Lite”, koje se koriste za instaliranje SharkBota na mobilne uređaje žrtava.

Prva aplikacija, “Codice Fiscale 2022” predstavlja se kao alat za izračunavanje poreza u Italiji i preuzeta je 10.000 puta. Kada korisnik instalira aplikaciju, ona će zatražiti da preuzme lažno ažuriranje, koje instalira malver SharkBot na uređaj.

Da bi instalirao dodatne Android pakete sa udaljenog servera, Google zahteva od aplikacija da zahtevaju „REQUEST_INSTALL_PACKAGES“. Međutim, novije verzije Androida upozoravaju na opasnosti ove dozvole, što otežava ubeđivanje korisnika da instaliraju „ažuriranje“.

Zbog toga, aplikacija otvara veb stranicu koja izgleda kao stranica Google Play prodavnice, sa ciljem da ubedi korisnika da dodirne dugme „Ažuriraj“ u pregledaču i tako zaobilazi potrebu za ovom dozvolom.

Aplikacija File Manager širi SharkBot izvan granica Italije, jer je konfigurisana za učitavanje stranica za prekrivanje obrazaca za prijavu za banke u Italiji, Velikoj Britaniji, Nemačkoj, Španiji, Poljskoj, Austriji, Australiji i Sjedinjenim Državama. File Manager nije slučajan izbor, jer su aplikacije za upravljanje fajlovima kategorija aplikacija kojima je dozvoljeno da imaju pomenutu dozvolu.

Cilj druge kampanje koja koristi dropper aplikacije je širenje malvera Vultur koji je takođe bankarski trojanac kojim upravlja grupa poznata pod imenom „Projekat Brunhilda“.

Vultur svojim operaterima omogućava strimovanje ekrana i keylogging za društvene mreže i aplikacije za slanje poruka. Verzija Vultura koja se koristi u ovoj kampanji može da snima klikove, pokrete i sve radnje koje je žrtva obavila na uređaju.

Istraživači Threat Fabrica veruju da su programeri malvera dodali ovu funkciju da bi zaobišli bezbednosna ograničenja na Androidu, koja sprečavaju da se sadržaj određenih prozora aplikacija pojavljuje na snimcima ekrana ili screencastovima.

Aplikacije koje distribuiraju Vultur su “Recover Audio, Images & Videos” (100.000 preuzimanja), “Zetter Authentication” (10.000 preuzimanja) i “My Finances Tracker” (1000 preuzimanja).

Kao i SharkBot dropperi, ovi dropperi takođe prikazuju zahtev za instaliranje lažnog ažuriranja, ovog puta maskiranog u Google Play obaveštenje. Ako korisnik dozvoli da se ažuriranje instalira, ono će preuzeti i instalirati Vultur.

Threat Fabric očekuje dalji rast primene ovakvih aplikacija jer je to najlagodniji način da se dođe do šire publike a da se ne izazove sumnja. Jedina mana ovakvih malvera je potreba da se žrtve uključe u bar jednu radnju, jer moraju ručno da pristanu na instalaciju malvera.