Čtyři samostatné malwarové kampaně cílení na uživatele Android, byly objeveny v Google Play Store v posledních několika dnech. Malware, objevil různými bezpečnostními společnostmi, McAfee, Malwarebytes, Dr.Web a ESET, se tváří jako legitimní aplikace Google Play a podařilo se získat miliony. To není poprvé, co byl nalezen malwaru v Google Play, ale čtyři samostatné malwarové kampaně za pouhých pár dní je dost alarmující.

Four different malware campaigns found in Google Play Store

Grabos malware v 144 aplikace Google Play

Jako McAfee detaily v report, Grabos malware byl objeven v 144 aplikace na Google Play Store. Mobilní výzkumný tým společnosti poprvé objevil malware v Aristotela hudební audio přehrávač 2017, app zdarma audio přehrávač. Od té doby 144 aplikace na Google Play bylo zjištěno, že obsahují Grabos malware.

McAfee uvádí, že Aristoteles měl dobré hodnocení a miliony, což je dost pro mnoho uživatelů důvěřovat aplikaci. Kromě toho 34 apps, které výzkumný tým byl schopen zkoumat také měl dobré hodnocení, v průměru 4,4 a spoustu stahování. Přesněji řečeno mezi 4.2 a 17,4 milionů.

Podle McAfee, důvod aplikace byly schopny obejít Google Play bezpečnostních opatření proto, že malware je kód je chráněn s komerční zabraňující, který úmyslně ztěžuje prozkoumat aplikace bez otevření první.

Malware se snaží oklamat uživatele do stahování a instalaci aplikace tím, že ukazuje falešné oznámení. Takže je to bezpečné říci, že se snaží vydělat tím, že podporuje instalace aplikací.

AsiaHitGroup malware je obtížné identifikovat

Bezpečnostní výzkumník z Malwarebytes nedávno discovered že malware se už vystupují jako legitimní aplikace na Google Play. Malware, s názvem AsiaHitGroup, byl poprvé objeven v aplikaci skener QR s názvem „Qr kód generátor-skener Qr“, ale byl také později nalezen v aplikaci Budík, kompasu app, aplikace photo editor, aplikaci test rychlosti Internetu a aplikace Průzkumník souborů.

Když uživatelé stahovat aplikace, to bude fungovat, jak by měl poprvé. Nicméně poté, co uživatel existuje, zmizí. Uživatelé nebudou schopni ho nikde najít podle jména, které je obtížné se zbavit. Výzkumník konstatuje, že aplikace pak maskuje jako správce stahování. Pokud uživatelé nejsou obeznámeni s aplikací nainstalovali, nalezení malware ručně je v podstatě nemožné.

Malware bude kontrolovat vaši polohu hned při vstupu. Pokud se nacházíte v Asii, odtud název AsiaHitGroup, stáhne SMS Trojan, který by se přihlásit k telefonní čísla pomocí SMS premium.

Trojan nalezené v 9 aplikace stahování mezi 2.37 a 11,7 milionu

Softwarovou společnost Dr.Web discovered a Trojan v 9 aplikace na Google Play. Hrozba, nazvaný Trojan Android.RemoteCode.106.origin společností, by otevřít webové stránky bez znalosti uživatele a napomoci tomu, aby reklamní příjmy pro majitele těchto stránek. Zpráva je Dr.Web rovněž bere na vědomí, že Trojan by mohl použít k provádění útoků typu phishing a ukrást důvěrné informace.

9 aplikace, které byly zjištěny aby obsahovaly škodlivý kód se pohybovala od hry na záložní aplikace. Podle Dr.Web Trojan byl nalezen v následujících aplikacích:

  • Pekárna sladké Match 3 – zaměnit a připojit 3 dorty 3.0;
  • Bibli Trivia, verze 1.8;
  • Bibli Trivia – FREE, verze 2.4;
  • Rychlý čistič světlo, verze 1.0;
  • Vydělat peníze 1,9;
  • Kapela hra: Klavír, kytara, buben, verze 1.47;
  • Karikatura Racoon zápas 3 – loupež klenot Puzzle 2017, verze 1.0.2;
  • Snadné zálohování a obnovení, verze 4.9.15;
  • Naučte se zpívat, verze 1.2.

Jakmile uživatelé stáhne aplikaci, Android.RemoteCode.106.origin bude kontrolovat, zda zařízení splňuje požadavky. Je-li infikované zařízení nemá určitý počet fotografií, kontakty nebo telefonní hovory, Trojan nic neudělám. Pokud jsou však splněny podmínky, Trojan stáhnout seznam modulů, spustit další škodlivý moduly nafouknout webových stránek dopravní statistiky a sledovat reklamní odkazy.

Vzhledem k tomu, Dr.Web vydala zpráva, škodlivý kód byl odebrán z některých aplikací, zatímco jiné zůstávají škodlivé.

ESET zjistí malware vícestupňové

Nová forma vícestupňové malware byl objeven v 8 aplikace na Google Play o zabezpečení společnosti ESET. Malware detekován jako Android/TrojanDropper.Agent.BKY firmou ESET, který je v podstatě bankovní Trojan.

Aplikace byly objeveny velmi rychle, tedy podařilo jen dostat několik set ke stažení. Malware se vydával za čištění nebo zprávy aplikace pro Android. Oni byly od té doby odstraněny z Google Play Store.

Jakmile uživatelé stáhnout aplikace, oni by si něčeho podivné jako aplikace chovat, jak se očekává, že uživatelé a nemají požádat o zvláštní oprávnění. Malware využívá vícestupňové architektury a šifrování zůstat neodhalen.

Po jeho stažení, bude provádět první fázi náklad, který spustí datové části druhé fáze. Datová část druhé fáze pak stáhne aplikace, datové části třetí fáze. To se děje na pozadí, tedy uživatelé není vědom.

Jak ESET vysvětluje, uživatelé pak vyzváni k instalaci stažené aplikace, které by mohly být převlečený za nějaký zdánlivě legitimní software. Škodlivé aplikace by pak požádejte uživatele, aby udělit oprávnění, a pokud nemá, aplikace by provést poslední datová část, která je v podstatě bankovní Trojan.

Bankovní Trojan se pak zobrazí falešné přihlašovací obrazovky získat vaše přihlašovací údaje nebo údaje o kreditní kartě.

Napsat komentář