Raziskovalci kibernetske varnosti pri ThreatFabric podrobno opisujejo, kako so bili bančni trojanci Android, ki so ukradli gesla, preoblečeni v bralnike kode QR, monitorje telesne pripravljenosti, aplikacije za kriptovalute in drugo.
Več kot 300.000 uporabnikov pametnih telefonov Android je preneslo nekaj, kar se je izkazalo za bančne trojance, potem ko je postalo žrtev zlonamerne programske opreme, ki je obšla zaznavanje v trgovini z aplikacijami Google Play.
Podrobnosti napisal raziskovalci kibernetske varnosti pri ThreatFabric, štiri različne oblike zlonamerna programska oprema so dostavljeni žrtvam prek zlonamernih različic pogosto prenašanih aplikacij, vključno s skenerji dokumentov, bralniki kod QR, monitorji telesne pripravljenosti in aplikacijami za kriptovalute. Aplikacije so pogosto opremljene s funkcijami, ki so oglaševane, da uporabniki ne bi postali sumljivi.
ZDNET Priporoča
- Najboljše storitve VPN
- Najboljši varnostni ključi
- Najboljša protivirusna programska oprema
- Najhitrejši VPN-ji
V vsakem primeru je zlonamerni namen aplikacije skrit in postopek dostave zlonamerne programske opreme se začne šele, ko je aplikacija nameščena, kar jim omogoča, da obidejo zaznave Trgovine Play.
GLEJ: Zmagovalna strategija za kibernetsko varnost (posebno poročilo ZDNet)
Najbolj plodna izmed štirih družin zlonamerne programske opreme je Anatsa, ki jo je namestilo več kot 200.000 uporabnikov Androida – raziskovalci jo opisujejo kot "napredno" bančni trojanec ki lahko ukrade uporabniška imena in gesla ter uporablja beleženje dostopnosti, da zajame vse, kar je prikazano uporabnikov zaslon, keylogger pa napadalcem omogoča snemanje vseh informacij, vnesenih v telefon.
Anasta zlonamerna programska oprema je bil aktiven od januarja, vendar se zdi, da je bil deležen znatnega zagona od junija – raziskovalci so lahko prepoznali šest različnih zlonamernih aplikacij, ki so bile zasnovane za dostavo zlonamerne programske opreme. Sem spadajo aplikacije, ki se predstavljajo kot skenerji kode QR, skenerji PDF in aplikacije za kriptovalute, ki vse prenašajo zlonamerno programsko opremo.
Ena od teh aplikacij je skener kod QR, ki ga je samo namestilo 50.000 uporabnikov, in prenos stran vsebuje veliko število pozitivnih ocen, kar lahko ljudi spodbudi k prenosu aplikacija Uporabniki so usmerjeni v aplikacije prek lažna e-poštna sporočila oz zlonamerne oglaševalske akcije.
Po začetnem prenosu so uporabniki prisiljeni posodobiti aplikacijo, da jo bodo lahko še naprej uporabljali – ta posodobitev se poveže z ukazom in nadzorni strežnik in prenese koristni tovor Anatsa v napravo, s čimer napadalcem zagotovi sredstva za krajo bančnih podatkov in drugih informacije.
Druga najbolj plodna družina zlonamerne programske opreme, ki so jo podrobno opisali raziskovalci ThreatFabric, je Alien, bančni trojanec za Android ki lahko ukrade tudi zmožnosti dvostopenjske avtentikacije in je aktiven že več kot eno leto. Zlonamerna programska oprema je prejela 95.000 namestitev prek zlonamernih aplikacij v Trgovini Play.
Ena od teh je aplikacija za vadbo v telovadnici in fitnesu, ki je opremljena s podpornim spletnim mestom, namenjenim povečanju legitimnosti, vendar natančen pregled spletnega mesta razkrije nadomestno besedilo po vsem. Spletno mesto služi tudi kot ukazni in nadzorni center za zlonamerno programsko opremo Alien.
Tako kot Anasta tudi začetni prenos ne vsebuje zlonamerne programske opreme, vendar so uporabniki pozvani, da namestijo lažno posodobitev – prikrito kot paket novih režimov telesne pripravljenosti –, ki porazdeli tovor.
Drugi dve obliki zlonamerne programske opreme, ki sta bili v zadnjih mesecih odstranjeni s podobnimi metodami, sta Hydra in Ermac, ki imajo skupno vsaj 15.000 prenosov. ThreatFabric je Hydro in Ermac povezal z Brunhildo, kibernetsko kriminalno skupino, za katero je znano, da cilja na naprave Android z bančno zlonamerno programsko opremo. Tako Hydra kot Ermac napadalcem omogočata dostop do naprave, potrebne za krajo bančnih podatkov.
GLEJ: Internet stvari postaja veliko večji, vendar varnost še vedno zaostaja
ThreatFabric je Googlu prijavil vse zlonamerne aplikacije in Googlov tiskovni predstavnik je za ZDNet potrdil, da so bile aplikacije, navedene v poročilu, odstranjene iz Trgovine Play. Kibernetski kriminalci bodo nenehno poskušali najti načine, kako zaobiti zaščito za dostavo mobilne zlonamerne programske opreme, ki postaja vse bolj privlačna za kibernetske kriminalce.
»Sistem odmeva zlonamerne programske opreme za bančništvo Android se hitro razvija. Te številke, ki jih opažamo zdaj, so rezultat počasnega, a neizogibnega premika fokusa s kriminalcev na mobilno krajino. S tem v mislih je trgovina Google Play najbolj privlačna platforma za uporabo zlonamerne programske opreme,« je za ZDNet povedal Dario Durando, strokovnjak za mobilno zlonamerno programsko opremo pri ThreatFabric.
Prepričljiva narava zlonamernih aplikacij pomeni, da jih je težko prepoznati kot potencialno grožnjo, vendar obstajajo koraki, ki jih lahko uporabniki sprejmejo, da se izognejo okužbi
"Dobro pravilo je, da vedno preverite posodobitve in ste vedno zelo previdni, preden podelite privilegije storitev dostopnosti – kar bo ki jih zahteva zlonamerni tovor po namestitvi »posodobitve« – in bodite previdni pri aplikacijah, ki zahtevajo namestitev dodatne programske opreme,« je dejal Durando.
VEČ O KIBERNETSKI VARNOSTI
- Ta nova zlonamerna programska oprema za Android pridobi popoln nadzor nad vašim telefonom za krajo gesel in podatkov
- Zlonamerna programska oprema Android, ki ukrade gesla, uporablja zahrbtno varnostno opozorilo, da vas zavede v prenos
- Ta zlonamerna trojanska programska oprema za Android uporablja lažne aplikacije za okužbo pametnih telefonov in krajo bančnih podatkov
- V trgovini Google Play je bila najdena zlonamerna programska oprema za goljufije pri obračunavanju Joker
- Nova črviva zlonamerna programska oprema za Android se predstavlja kot Netflix za ugrabitev sej WhatsApp