Više od 300.000 korisnika inficiralo svoje Android uređaje trojancima iz Google Play prodavnice

Mobilni telefoni, 30.11.2021, 10:30 AM

Više od 300.000 korisnika inficiralo svoje Android uređaje trojancima iz Google Play prodavnice

Više od 300.000 Android uređaja zaraženo je bankarskim trojancima nakon što su korisnici ovih uređaja instalirali aplikacije iz zvanične Googleove Play prodavnice tokom proteklih nekoliko meseci, saopštila je kompanija za mobilnu bezbednost ThreatFabric.

Zlonamerni kod je bio sakriven u potpuno funkcionalnim aplikacijama koje su izgledale kao bezopasne uslužne aplikacije, dok su u isto vreme sajber kriminalcima obezbedile potpunu kontrolu nad zaraženim uređajima. Pored legitimne funkcionalnosti koju su nudile, ove aplikacije su imale i poseban modul koji se zove „loader“.

Loaderi su mali delovi malvera koji su skriveni u aplikacijama. Obično sadrže vrlo malo i veoma benigne funkcionalnosti, kao što je mogućnost povezivanja na server radi preuzimanja i pokretanja dodatnog koda. Ovakav dizajn im omogućava da zaobiđu provere koje obavlja bezbednosni softver. Međutim, iako loaderi (“učitavači”) imaju istu funkcionalnost kao i bilo koji modul za ažuriranje u aplikaciji, oni se obično koriste za povezivanje sa serverom napadača i preuzimanje i pokretanje zlonamernog koda, koji možda neće biti proveren toliko koliko početna instalacija aplikacije.

Zbog ovog pametnog dizajna, loaderi su stari i pouzdani mehanizam distribucije malvera na računarima od kasnih 2000-ih, a i danas se neki od najvećih svetskih botneta, kao što su Dridex, Emotet i Trickbot, oslanjaju na loader koja deluje kao početna tačka infekcije pre nego što se složeniji moduli preuzmu na zaražene sisteme.

Na tržištu mobilnih uređaja, sajber kriminalci su počeli da koriste loadere 2017. i 2018. nakon što je niz ažuriranja bezbednosnih skeniranja Google Play prodavnice otežao sakrivanje malvera u aplikacijama tokom procesa provere aplikacija pre nego što se nađu u ponudi Play prodavnice.

To je omogućilo sajber kriminalcima da postavljaju komponentu benignog izgleda unutar aplikacija koje izgledaju legitimno, pošalju aplikaciju na skeniranje, aplikacija bude prihvaćena i objavljena u Play prodavnici i da nakon toga primene pravi malver nakon što je aplikacija instalirana na uređajima korisnika.

Prvobitni Android loaderi koristili su se za skeniranje okruženja da bi otkrili emulatore Android OS-a što je bio način da se otkrije kada aplikaciju/loader proverava Bouncer, Googleovov sistem za skeniranje aplikacija Play prodavnice.

Kasniji dizajn loadera uključio je tajmer za odloženo izvršenje kako bi se sprečilo pokretanje loadera dok se testira u Bounceru.

Danas, provere Bouncera uključuju mnoštvo različitih tipova skeniranja, a poslednje je dodato prošlog meseca, u oktobru 2021. godine, kada je Gugl odlučio da ograniči kategoriju aplikacija koje mogu da dobiju pristup dozvolama koje je Google klasifikovao kao „opasne“ zbog njihove ponovljene zloupotrebe od strane grupa koje inficiraju Android uređaje malverima.

ThreatFabric kaže da izgleda da ovo novo ažuriranje uopšte nije odgovorilo sajber kriminalce od korišćenja loadera.

ThreatFabric kaže da su kriminalne grupe reagovale na najnoviju Googleovu promenu slanjem čistih aplikacija na Googleove provere, a zatim postepenim dodavanjem zlonamernog koda tokom jednog ili više ažuriranja aplikacije. Kada se ceo kod za učitavanje nađe u aplikaciji, sajber kriminalci mogu da traže od korisnika pristup opasnim dozvolama i da implementiraju malvere na zaražene uređaje.

U drugim slučajevima, neki sajber kriminalci su primenjivali payload u drugoj fazi samo na uređaje iz određenih regiona sveta, kako bi bili sigurni da će njihov malver stići samo do stvarnih korisnika, a ne do Googleovih bezbednosnih okruženja.

Neke kriminalne grupe su kreirale lažne veb sajtove za svoje aplikacije, gde su hostovale komandni i kontrolni server loadera, tako da je svaki zlonamerni kod izgledao kao legitimna komponenta sa zvanične veb stranice aplikacije.

ThreatFabric kaže da je već video četiri različita Android bankarska trojanca koji koriste ove nove taktike isporuke malvera. Na listi se nalaze bankarski trojanci poput Anatsa, Ermac, Hydra i Alien.

Kada loaderi instaliraju neki od ova četiri trojanca, oni mogu ukrasti lozinke za društvene mreže, lozinke za aplikacije za poruke, mobilno bankarstvo i aplikacije za kriptovalute. Neki od njih takođe imaju mogućnost da zaobiđu dvofaktorsku autentifikaciju zasnovanu na SMS-u i automatizuju skidanje novca sa računa korisnika.

Aplikacije koje su sadržale nove loadere koji su doveli do infekcije bankarskim trojancima su:

» Two Factor Authenticator (com.flowdivison)

» Protection Guard (com.protectionguard.app)

» QR CreatorScanner (com.ready.qrscanner.mix)

» Master Scanner Live (com.multifuction.combine.qr)

» QR Scanner 2021 (com.qr.code.generate)

» QR Scanner (com.qr.barqr.scangen)

» PDF Document (com.xaviermuches.docscannerpro2)

» Scanner - Scan to PDF

» PDF Document Scanner (com.docscanverifier.mobile)

» PDF Document Scanner Free (com.doscanner.mobile)

» CryptoTracker (cryptolistapp.app.com.cryptotracker)

» Gym and Fitness Trainer (com.gym.trainer.jeux)

Sve aplikacije su prijavljene Googleu i uklonjene iz prodavnice.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Otkriven trojanac u 8 aplikacija na Google Play koje je preuzelo više od 2 miliona korisnika

Otkriven trojanac u 8 aplikacija na Google Play koje je preuzelo više od 2 miliona korisnika

Osam Android aplikacija u Google Play prodavnici, koje su preuzeli milioni korisnika, sadrže trojanca Android.FakeApp koji krade korisničke podatke.... Dalje

Android dobija nove zaštite od telefonskih prevara i malvera

Android dobija nove zaštite od telefonskih prevara i malvera

Google je najavio novu AI funkciju „Scam detection“ koja prati telefonske razgovore na Google Pixel uređajima kako bi otkrila obrasce koj... Dalje

iPhone ima novu bezbednosnu funkciju koja hakerima ali i policiji blokira pristup podacima na uređaju

iPhone ima novu bezbednosnu funkciju koja hakerima ali i policiji blokira pristup podacima na uređaju

Sa ažuriranjem iOS 18.1 objavljenim prošlog meseca, Apple je dodao novu bezbednosnu funkciju, tajmer neaktivnosti, tako da se iPhone automatski pono... Dalje

Novi moćni trojanac ToxicPanda ugrožava bankovne račune korisnika Androida širom sveta

Novi moćni trojanac ToxicPanda ugrožava bankovne račune korisnika Androida širom sveta

Tim istraživača iz kompanije Cleafy upozorio je na novi opasni malver koji se širi širom sveta i koji je pretnja za svačije bankovne račune. Re... Dalje

Android malver preusmerava korisničke pozive bankama na brojeve koje kontrolišu hakeri

Android malver preusmerava korisničke pozive bankama na brojeve koje kontrolišu hakeri

Nova verzija malvera za Android FakeCall otima odlazne pozive korisnika ka njihovoj banci, i preusmerava ih na telefonski broj napadača. Cilj najnovi... Dalje