Τέσσερις εκστρατείες malware ξεχωριστό, στοχεύοντας στους χρήστες του Android, έχουν ανακαλυφθεί σε το Google Play Store τις τελευταίες ημέρες. Το κακόβουλο λογισμικό, ανακαλύφθηκε από εταιρείες ασφαλείας διαφορετικό, McAfee, Malwarebytes, Dr.Web και ESET, ήταν μεταμφιεσμένος ως νόμιμες εφαρμογές του Google Play και κατάφερε να πάρει τα εκατομμύρια downloads. Αυτό δεν είναι η πρώτη φορά κακόβουλο λογισμικό έχει βρεθεί στο Google Play, αλλά είναι μάλλον ανησυχητική, τέσσερις εκστρατείες ξεχωριστό malware σε λίγες μέρες.

Four different malware campaigns found in Google Play Store

Grabos κακόβουλο λογισμικό που βρέθηκαν σε 144 εφαρμογές Google Play

Ως McAfee λεπτομέρειες σε μια report, Grabos malware ανακαλύφθηκε στο 144 εφαρμογές στο Google Play Store. Της εταιρείας έρευνας κινητό ομάδα ανακαλύφθηκε για πρώτη φορά του κακόβουλου λογισμικού στο Αριστοτέλειο μουσικής αναπαραγωγής ήχου 2017, ένα app δωρεάν συσκευή αναπαραγωγής ήχου. Από τότε, 144 εφαρμογών στο Google Play έχει βρεθεί να περιέχουν το κακόβουλο λογισμικό Grabos.

McAfee σημειώνει ότι ο Αριστοτέλης είχε μια καλή αξιολόγηση και εκατομμύρια λήψεις, που είναι αρκετό για πολλούς χρήστες να εμπιστεύονται μια εφαρμογή. Επιπλέον, το 34 εφαρμογές που η ερευνητική ομάδα ήταν σε θέση να διερευνήσει επίσης είχε καλή κατάταξη, κατά μέσο όρο 4.4, και την αφθονία των downloads. Πιο συγκεκριμένα, μεταξύ 4.2 και 17,4 εκατ.

Σύμφωνα με την McAfee, ο λόγος τις εφαρμογές ήταν σε θέση να παρακάμψει το Google Play μέτρα ασφαλείας είναι επειδή το κώδικα του κακόβουλου λογισμικού προστατεύεται με μια εμπορική συσκοτιστής, το οποίο εσκεμμένα καθιστά δύσκολο να εξετάσει μια app χωρίς άνοιγμα πρώτα.

Το κακόβουλο λογισμικό έχει ως στόχο να ξεγελάσουν τους χρήστες στη λήψη και εγκατάσταση εφαρμογών δείχνοντας ψεύτικες ειδοποιήσεις. Έτσι είναι ασφαλές να πούμε ότι προσπαθεί να κάνει ένα κέρδος με την προώθηση της εφαρμογής εγκαταστάσεων.

AsiaHitGroup malware καθιστά δύσκολο να εντοπίσει

Ασφάλεια ερευνητής από Malwarebytes πρόσφατα ο discovered ότι το κακόβουλο λογισμικό έχει έχουν ποζάρει ως νόμιμες εφαρμογές στο Google Play. Το κακόβουλο λογισμικό, που ονομάζεται AsiaHitGroup, ανακαλύφθηκε για πρώτη φορά σε μια εφαρμογή σαρωτή QR με το όνομα «Qr γεννήτρια κώδικα – σαρωτή Qr» αλλά επίσης αργότερα βρέθηκε στο μια εφαρμογή Ξυπνητήρι, μια πυξίδα, μια εφαρμογή επεξεργασίας φωτογραφίας, ένα app δοκιμή ταχύτητας στο Internet και μια εφαρμογή Εξερεύνηση αρχείων.

Όταν οι χρήστες κατεβάσετε το app, αυτό θα λειτουργήσει όπως πρέπει την πρώτη φορά. Ωστόσο, αφού ο χρήστης υπάρχει, εξαφανίζεται. Οι χρήστες δεν θα μπορείτε να το βρείτε πουθενά με το όνομα, γεγονός που καθιστά δύσκολο να ξεφορτωθεί. Ο ερευνητής σημειώνει ότι η εφαρμογή στη συνέχεια μεταμφιέζεται ως Download Manager. Εάν οι χρήστες δεν είναι εξοικειωμένοι με το τι εφαρμογές που έχουν εγκατασταθεί, εύρεση με μη αυτόματο τρόπο το κακόβουλο λογισμικό είναι ουσιαστικά αδύνατη.

Το κακόβουλο λογισμικό θα ελέγξει την τοποθεσία σας πρώτο πράγμα κατά την είσοδο. Εάν βρίσκεστε στην Ασία, εξ ου και το όνομα AsiaHitGroup, θα κατεβάσετε ένα SMS Trojan, το οποίο θα εγγραφείτε σε premium αριθμούς τηλεφώνου μέσω SMS.

Trojan που βρέθηκαν σε 9 εφαρμογές με λήψεις μεταξύ 2.37 και 11,7 εκατ.

Λογισμικό εταιρεία Dr.Web discovered ένα Trojan 9 εφαρμογών στο Google Play. Η απειλή, που ονομάζεται Trojan Android.RemoteCode.106.origin από την εταιρεία, θα ανοίξετε ιστοσελίδες χωρίς ο χρήστης να γνωρίζει και να βοηθήσει κάνει τα διαφημιστικά έσοδα για τους κατόχους αυτών των ιστότοπων. Του Dr.Web έκθεση σημειώνει επίσης ότι το Trojan θα μπορούσε να χρησιμοποιηθεί για την εκτέλεση phishing επιθέσεις και να υποκλέψουν εμπιστευτικές πληροφορίες.

Το 9 εφαρμογές που ανακαλύφθηκαν για να περιέχουν κακόβουλο κώδικα κυμαινόταν από παιχνίδια για δημιουργία αντιγράφων ασφαλείας εφαρμογές. Σύμφωνα με την Dr.Web, το Trojan βρέθηκε στις ακόλουθες εφαρμογές:

  • Γλυκό αρτοποιείο ταίριασμα 3 – Swap και συνδέστε 3 κέικ 3.0?
  • Βίβλου Trivia, έκδοση 1.8?
  • Βίβλου Trivia – δωρεάν, έκδοση 2.4?
  • Γρήγορο καθαριστικό φως, έκδοση 1.0?
  • Κάνετε τα χρήματα 1.9?
  • Συγκρότημα παιχνίδι: Πιάνο, κιθάρα, τύμπανο, έκδοση 1,47?
  • Γελοιογραφία Racoon ταίριασμα 3 – ληστεία κόσμημα παζλ 2017, έκδοση 1.0.2?
  • Εύκολη δημιουργία αντιγράφων ασφαλείας και επαναφορά, έκδοση 4.9.15?
  • Μάθετε να τραγουδήσει, έκδοση 1.2.

Μόλις οι χρήστες λήψεις της εφαρμογής, Android.RemoteCode.106.origin θα ελέγξει κατά πόσον η συσκευή πληροί τις απαιτήσεις. Αν τη μολυσμένη συσκευή δεν έχει ένα συγκεκριμένο αριθμό των φωτογραφιών, επαφές ή τηλεφωνικές κλήσεις, το Trojan δεν θα κάνει τίποτα. Εάν, ωστόσο, οι προϋποθέσεις, ο Δούρειος ίππος θα κατεβάσετε μια λίστα των ενοτήτων, θα ξεκινήσει επιπλέον κακόβουλο ενότητες που φουσκώνουν στατιστικά επισκεψιμότητας της ιστοσελίδας και ακολουθήστε τις συνδέσεις διαφήμιση.

Δεδομένου ότι Dr.Web κυκλοφόρησε την έκθεση, το κακόβουλο κώδικα αφαιρέθηκε από ορισμένες από τις εφαρμογές, ενώ άλλοι εξακολουθούν να παραμένουν κακόβουλο.

ESET ανακαλύπτει το κακόβουλο λογισμικό πολλαπλών σταδίων

Μια νέα μορφή κακόβουλου λογισμικού πολλαπλών σταδίων ανακαλύφθηκε στα 8 εφαρμογών στο Google Play από ESET εταιρεία ασφαλείας. Το κακόβουλο λογισμικό, ανιχνεύεται ως Android/TrojanDropper.Agent.BKY από ESET, είναι βασικά μια τραπεζική Trojan.

Οι εφαρμογές έχουν ανακαλυφθεί αρκετά γρήγορα, έτσι ήταν μόνο σε θέση να πάρει ένα ζευγάρι των εκατό λήψεις. Το κακόβουλο λογισμικό θέτουν ως Android εφαρμογές καθαρισμού ή ειδήσεις. Έχουν καταργηθεί από τότε από Google Play Store.

Μόλις οι χρήστες κατεβάσετε εφαρμογές, να θα δεν παρατηρήσετε οτιδήποτε παράξενο καθώς οι εφαρμογές συμπεριφέρονται όπως αναμένεται να από τους χρήστες και να μην ρωτήσετε για οποιαδήποτε παράξενη δικαιώματα. Το κακόβουλο λογισμικό απασχολεί επίσης αρχιτεκτονική πολλαπλών σταδίων και κρυπτογράφηση για να παραμένουν απαρατήρητα.

Κατά τη λήψη, θα εκτελέσει ωφέλιμου πρώτο στάδιο, που θα ξεκινήσει μια δεύτερη φάση ωφέλιμο φορτίο. Το ωφέλιμο φορτίο της δεύτερης φάσης στη συνέχεια κατεβάζει ένα app, το ωφέλιμο φορτίο του τρίτου σταδίου. Αυτό συμβαίνει στο παρασκήνιο, έτσι οι χρήστες δεν είναι ενήμερη.

Όπως εξηγεί η ESET, οι χρήστες ζητείται στη συνέχεια να εγκαταστήσετε την εφαρμογή που έχετε κατεβάσει, που θα μπορούσε να είναι μεταμφιεσμένοι ως κάποιου είδους φαινομενικά νόμιμο λογισμικό. Την κακόβουλη εφαρμογή, στη συνέχεια, θα ζητήσει από τους χρήστες να παραχωρήσετε δικαιώματα διάφορους, και εάν ο χρήστης δεν, το app θα εκτελέσει το τελικό ωφέλιμο φορτίο, η οποία είναι ουσιαστικά μια τραπεζική Trojan.

Το τραπεζικό Trojan θα σας δείξει έπειτα πλαστό login οθόνες για να αποκτήσετε διαπιστευτήρια ή τα στοιχεία της πιστωτικής κάρτας σας.

Σχολιάστε