Trojanci u Google Play prodavnici sakriveni u WhatsApp modovima, editorima fotografija i lažnim investicionim aplikacijama

Mobilni telefoni, 17.03.2022, 10:30 AM

Istraživači bezbednosti koji prate ekosistem mobilnih aplikacija primetili su porast infiltracije trojanaca u Google Play Store. Većina ovih aplikacija dovodi do finansijskih gubitaka i gubitka osetljivih ličnih podataka.

Novi Android trojanac (Android.Spy.4498) koga su primetili istraživači iz firme Doctor Web, krije se u nekim verzijama nezvaničnih modifikacija (modova) WhatsAppa, uključujući GBWhatsApp, OBWhatsApp i WhatsApp Plus koji se mogu preuzeti sa sumnjivih veb sajtova koji se promovišu u objavama na društvenim mrežama i forumima i preko Google pretrage. Ovi modovi nude podršku za arapski jezik, vidžete za početni ekran, odvojenu donju traku, opcije sakrivanja statusa, blokiranje poziva i mogućnost automatskog čuvanja primljenih medija. Ovi modovi su popularni jer nude dodatne funkcije kojih nema u WhatsAppu.

Glavni zadatak Android.Spy.4498 je krađa sadržaja iz obaveštenja drugih aplikacija. On takođe može da preuzme dodatni APK sa URL-a koji dobija sa C2 servera i zatraži od korisnika da ga instalira pod maskom ažuriranja za OBWhatsApp. Ova nova aplikacija se zatim koristi za prikazivanje dijaloških okvira, sa sadržajem koji se dinamički postavlja i ažurira, što omogućava napadačima da preusmere korisnike na zlonamerne sajtove.

Dr. Web je detalje o ovom malveru objavio u svom pregledu aktivnosti malvera na mobilnim uređajima u januaru 2022.

Druge pretnje koje su analitičari Dr. Weba otkrili u Play prodavnici uključuju aplikacije za upravljanje kriptovalutama, investicione aplikacije, aplikacije za uređivanje fotografija i aplikaciju za pokretanje iOS 15 teme.

Lažne investicione aplikacije tvrde da će pomoći korisnicima da postanu investitori i zarade bez ikakvog znanja o investicijama. One tvrde da će sav posao obaviti određeni algoritam ili lični menadžer. Tako su se trojanci u januaru širili preko aplikacija kao što su “Газпром Инвест”, “Gaz Investor”, “Инвестиции АктивГаз” i drugih aplikacija koje su navodno povezane sa ruskom naftnom kompanijom Gazprom i tržištem nafte i prirodnog gasa.

Većina ovih aplikacija učitava sumnjive veb sajtove na kojima se žrtve podstiču da otvore nalog i deponuju novac koji će navodno služiti za trgovanje, dok se novac ustvari preusmerava na bankovni račun prevaranta.

U aplikaciji za uređivanje slika, “Adorn Photo Pro”, otkriven je trojanac Android.PWS.Facebook.123, koji krade podatke potrebne za hakovanje Facebook naloga.

Jedna od aplikacija koju je Dr. Web prijavio Googleu je aplikacija Top Navigation, koja je do uklanjanja iz Play prodavnice dostigla preko 500.000 instalacija. Njen programer, Tsaregorotseva, imao je i drugu aplikaciju u Play prodavnici, Advice Photo Power, sa preko 100.000 preuzimanja.

Recenzije korisnika govore da su ove aplikacije korišćene za prevare sa pretplatom, da naplaćuju 1,5 dolara nedeljno za verifikaciju ili uklanjanje oglasa, ali da ne nude ništa zauzvrat.

Neke aplikacije koje je otkrio Dr. Web učitavaju sajtove partnerskih servisa i nakon što prevare žrtvu da unese svoj telefonski broj pretplaćuju je putem Wap Click tehnologije.

Izbegavajte preuzimanje aplikacija iz nepoznatih izvora, proveravajte recenzije korisnika pre instaliranja aplikacije, obratite pažnju na zahtev za dozvole tokom instalacije i pratite potrošnju baterije i mobilnih podataka nakon instalacije aplikacije bar nekoliko dana.

Takođe, redovno proveravajte status Google Play zaštite a uređaj možete i dodatno zaštititi antivirusnom aplikacijom renomiranog proizvođača.