Quattro campagne di malware separato, destinato agli utenti Android, sono stati scoperti nella Google Play Store in questi ultimi giorni. Il malware, scoperto da società di sicurezza diversi, McAfee, Malwarebytes, Dr. Web ed ESET, sono stati travestiti come legittimo Google Play apps e siamo riusciti a trovare milioni di download. Questo non è la prima volta malware è stato trovato in Google Play, ma quattro campagne di malware separato in pochi giorni è piuttosto allarmante.
Grabos malware trovato in 144 app di Google Play
Come dettagli di McAfee in un report, Grabos malware è stato scoperto in 144 applicazioni su Google Play Store. Il team di ricerca Mobile scoperto il malware in Aristotle Music audio player 2017, un app player audio gratuito. Da allora, 144 app su Google Play è stato trovato per contenere il malware Grabos.
McAfee rileva che Aristotele aveva un buon rating e milioni di download, che è sufficiente per molti utenti a fidarsi di un app. In aggiunta, il 34 applicazioni che il team di ricerca è stato in grado di indagare anche avevano buoni voti, in media 4,4 e un sacco di download. Più specificamente, tra 4.2 e 17,4 milioni.
Secondo McAfee, la ragione le applicazioni erano in grado di bypassare Google Play misure di sicurezza, infatti, il codice del malware è protetto con un obfuscator commerciale, che volutamente rende difficile esaminare un’app senza prima aprirlo.
Il malware ha lo scopo di ingannare gli utenti a scaricare e installare applicazioni mostrando finte notifiche. Così è sicuro di dire che sta cercando di realizzare un profitto attraverso la promozione di installazioni di app.
AsiaHitGroup malware rende difficile identificarlo
Ricercatore di sicurezza da Malwarebytes recentemente discovered che il malware è stato in posa come legittimo app su Google Play. Il malware, chiamato AsiaHitGroup, è stato scoperto in un app scanner QR con il nome “Qr code generator – Qr scanner” ma anche più successivamente è stato trovato in un app sveglia, un’applicazione bussola, un’app editor di foto, un app Internet speed test e un file explorer app.
Quando gli utenti scaricano l’app, funziona come dovrebbe la prima volta. Tuttavia, dopo che l’utente esiste, scompare. Gli utenti non saranno in grado di trovarlo ovunque dal nome, che rende difficile sbarazzarsi di. Le note del ricercatore che l’app quindi si traveste da Download Manager. Se gli utenti non hanno familiari con ciò che hanno installato le applicazioni, trovare il malware manualmente è praticamente impossibile.
Il malware controllerà la tua posizione prima cosa all’entrata. Se ci si trova in Asia, da qui il nome AsiaHitGroup, scaricherà un SMS Trojan, che sottoscriverà i numeri di telefono premium via SMS.
Trojan trovato in 9 apps con settimanali tra 2.37 e 11,7 milioni
Software azienda Dr. Web discovered un Trojan in 9 applicazioni su Google Play. La minaccia, denominata Trojan Android.RemoteCode.106.origin dalla società, sarebbe aprire siti Web senza conoscere l’utente e contribuire a rendere entrate pubblicitarie per i proprietari di tali siti. Relazione di Dr. Web rileva, inoltre, che il Trojan potrebbe essere utilizzato per eseguire attacchi di phishing e rubare informazioni riservate.
9 applicazioni che sono stati scoperti per contenere il codice dannoso variavano da giochi per applicazioni di backup. Secondo il Dr. Web, il Trojan è stato trovato nelle seguenti applicazioni:
- Forno dolce partita 3 – Swap e collegare 3 torte 3.0;
- Bibbia Trivia, versione 1.8;
- Bibbia Trivia-FREE, versione 2.4;
- Fast Cleaner luce, versione 1.0;
- Fare soldi 1.9;
- Band gioco: Piano, chitarra, tamburo, versione 1.47;
- Fumetto di Racoon Match 3 – rapina gioiello Puzzle 2017, versione 1.0.2;
- Facile Backup e ripristino, versione 4.9.15;
- Imparare a cantare, versione 1.2.
Una volta che gli utenti download l’app, Android.RemoteCode.106.origin controllerà se il dispositivo soddisfa i requisiti. Se il dispositivo infetto non dispone di un numero specifico di foto, contatti o telefonate, il Trojan non farà nulla. Se, tuttavia, le condizioni sono soddisfatte, il Trojan sarà scaricare un elenco di moduli, moduli aggiuntivi dannosi per gonfiare le statistiche di traffico del sito Web e seguire link pubblicitari di lancio.
Poiché Dr. Web ha pubblicato la relazione, il codice dannoso è stato rimosso da alcune delle applicazioni, mentre altri rimangono ancora dannosi.
ESET scopre malware multistadio
Una nuova forma di multistadio malware è stato scoperto in 8 app su Google Play da sicurezza azienda ESET. Il malware rilevato come Android/TrojanDropper.Agent.BKY da ESET, è fondamentalmente un Trojan bancario.
Le applicazioni sono stati scoperti abbastanza rapidamente, così erano solo in grado di ottenere un paio di centinaia di download. Il malware è stato in posa come applicazioni Android di pulizia o notizie. Sono state rimosse da allora da Google Play Store.
Una volta che gli utenti scaricano le app, non noterebbero niente strano come le app si comportano come dovrebbero dagli utenti e non chiedere alcuna autorizzazione strani. Il malware utilizza inoltre architettura multistadio e crittografia per rimanere inosservato.
Quando viene scaricato, eseguirà il payload del primo stadio, che lancerà un payload di secondo stadio. Il secondo stadio payload quindi Scarica un’app, il payload di terza fase. Questo sta accadendo in background, così gli utenti non è a conoscenza.
Come spiega ESET, gli utenti quindi viene richiesto di installare l’applicazione scaricata, che potrebbe essere travestito da qualche tipo di software apparentemente legittimo. L’app dannoso quindi vorrei chiedere agli utenti di concedere autorizzazioni varie, e se l’utente fa, l’applicazione eseguirà l’ultimo carico utile, che è fondamentalmente un Trojan bancario.
Il Trojan bancario vi condurrà poi schermate di login falso per ottenere il vostro credenziali o carta di credito.