Procureli trojanac otkriven u aplikacijama na Google Play

Mobilni telefoni, 28.02.2017, 00:30 AM

Kao što su stručnjaci predvideli, izvorni kod moćnog bankarskog trojanca za Android koji je procureo sredinom decembra, sada se koristi u napadima.

Stručnjaci kompanija Doctor Web i i ESET primetili su tri kampanje u kojima učestvuje trojanac čiji je izvorni kod objavio nezadovoljni kupac na jednom ruskom hakerskom forumu 19. decembra prošle godine.

S obzirom da je od tada izvorni kod moćnog malvera dostupan svima, bilo je samo pitanje vremena kada će kriminalci iskoristiti procureli kod malvera i napraviti svoju verziju trojanca koja se širi preko malicioznih aplikacija koje su dostupne u nezvaničnim prodavnicama aplikacija.

Prvu kampanju su sredinom januara primetili stručnjaci ruske kompanije Doctor Web. Prema njihovim rečima, kriminalci su napadali samo korisnike nekoliko ruskih banaka.

Druga i treća kampanja primećene su u poslednje dve nedelje, kada su istraživači iz firme ESET otkrili dve aplikacije u Googleovoj prodavnici aplikacija Play.

Način funkcionisanja poslednje dve kampanje je isti kao i onaj na koji je funkcionisala prva kampanja. Zbog toga u ESET-u veruju da su ove kampanje delo iste grupe.

U dve poslednje kampanje, kriminalci su koristili legitimnu Android aplikaciju za vremensku prognozu u koju su ubacivali izvorni kod trojanca. Zatim bi prepakovali aplikaciju i objavljivali je na Play Store, i tako zaobilazili Googleov skener Bouncer.

Aplikacije koje su otkrili i prijavili Googleu istraživači kompanije ESET su Good Weather koja je kopija istoimene aplikacije i Weather koja je kopija aplikacije World Weather.

Za potrebe druge kampanje, u kojoj se trojanac širi preko maliciozne kopije Good Weather, kriminalci su konfigurisali trojanca tako da prikazuje lažne stranice za prijavljivanje 22 aplikacije turskih banaka.

Treća kampanja je malo sofisticiranija i cilja veći broj korisnika jer je trojanac tako konfigurisan da prikazuje stranice za prijavljivanje 69 aplikacija banaka iz Velike Britanije, Austrije, Nemačke i Turske.

Doctor Web detektuje ovog trojanca kao Android.BankBot a ESET kao Trojan.Android/Spy.Banker.

U pitanju je veoma napredna pretnja koja osim što prikazuje lažne login stranice preko legitimnih aplikacija, može i da zaključa uređaj kao ransomware, kao i da presreće SMS poruke da bi prevario sistem dvofaktorne verifikacije.

Procureli izvorni kod trojanca uključuje i kontrolni panel, koji je potreban kriminalcima da bi kontrolisali malver posle infekcije uređaja.

U ovom trenutku nije jasno da li iza sve tri kampanje stoji jedna grupa hakera.

Dobra vest je da je Google brzo reagovao na upozorenje ESET-a tako da pomenute dve maliciozne aplikacije nisu preuzete više od 10000 puta.