Fire separate malware kampagner, rettet mod Android brugere, er blevet opdaget i Google Play Store i de sidste par dage. Malwaren opdaget af forskellige sikkerhedsfirmaer, McAfee, Malwarebytes, Dr.Web og ESET, var forklædt som legitime Google Play apps og formået at få millioner af downloads. Dette er ikke første gang, malware er blevet fundet i Google Play, men fire separate malware kampagner i bare et par dage er temmelig foruroligende.
Grabos malware findes i 144 Google Play apps
Som McAfee detaljer i en report, Grabos malware blev opdaget i 144 apps på Google Play Store. Selskabets mobiltelefon Research team først opdaget malware i Aristotle Music audio player 2017, en gratis lydafspiller app. Siden da, 144 apps på Google Play har vist sig for at indeholde Grabos malware.
McAfee bemærker, at Aristoteles havde en god rating og millioner af downloads, hvilket er nok for mange brugere at have tillid til en app. Desuden er 34 apps at forskning team var i stand til at undersøge havde også gode ratings, i gennemsnit 4,4, og masser af downloads. Mere specifikt mellem 4.2 og 17,4 mio.
Ifølge McAfee, grunden til at apps var købedygtig omgå Google Play sikkerhedsforanstaltninger er fordi malware’s kode er beskyttet med en kommerciel obfuscator, som bevidst gør det vanskeligt at undersøge en app uden at åbne den første.
Malwaren har til formål at narre brugere til at downloade og installere apps ved at vise falske meddelelser. Så det er sikkert at sige, at det forsøger at opnå en fortjeneste ved at fremme app anlæg.
AsiaHitGroup malware gør det vanskeligt at identificere det
Sikkerhedsforsker fra Malwarebytes for nylig discovered at malware er forklædt som legitime apps på Google Play. Malware, opkaldt AsiaHitGroup, blev først opdaget i en QR scanner app med navnet “Qr kode generator-Qr scanner” men også senere blev fundet i et vækkeur app, et kompas app, et foto editor app, en Internet hastighed test app og en fil explorer app.
Når brugerne downloade app, vil det fungere som det skal første gang. Men efter brugeren eksisterer, det forsvinder. Brugerne vil ikke kunne finde den nogen steder ved navn, hvilket gør det vanskeligt at slippe af med. Forsker bemærker, at app derefter forklæder sig som Download Manager. Hvis brugerne ikke er fortrolig med hvad de har installeret apps, er at finde malwaren manuelt stort set umuligt.
Malwaren vil tjekke din placering første ting ved indrejse. Hvis du befinder dig i Asien, deraf navnet AsiaHitGroup, vil den hente en SMS Trojan, som ville abonnere overkurs foretage en opringning numre via SMS.
Trojan fundet i 9 apps med overførsler mellem 2.37 og 11,7 millioner
Software virksomheden Dr.Web discovered en trojansk i 9 apps på Google Play. Den trussel, navngivet Trojan Android.RemoteCode.106.origin af firmaet, ville åbne websteder uden at brugeren at vide og gøre annonceindtægter for ejerne af disse steder. Dr.Web’s rapport konstaterer også, at trojanske kan bruges til at udføre phishing-angreb og stjæle fortrolige oplysninger.
9 apps, der blev opdaget at indeholde ondsindet kode varierede fra spil til backup apps. Efter Dr.Web, blev trojanske fundet i de følgende apps:
- Sød bageri Match 3-Swap og Tilslut 3 kager 3.0;
- Bibelen Trivia, version 1,8;
- Bibelen Trivia – gratis, version 2.4;
- Hurtigt renere lys, version 1.0;
- Tjene penge 1,9;
- Band spil: Klaver, Guitar, tromme, version 1,47;
- Tegneserie Racoon Match 3 – røveri perle puslespil 2017, version 1.0.2;
- Nem Backup & Restore, version 4.9.15;
- Lære at synge, version 1.2.
Når brugerne henter app, vil Android.RemoteCode.106.origin kontrollere, om enheden opfylder kravene. Hvis den inficerede enhed ikke har et bestemt antal billeder, kontakter eller telefonopkald, vil Trojan ikke gøre noget. Hvis imidlertid betingelserne er opfyldt, vil trojanske download en liste over moduler, lancere yderligere ondsindede moduler for at puste hjemmeside trafik statistik og følg reklame links.
Da Dr.Web udgivet rapporten, den skadelig kode er blevet fjernet fra nogle af apps, mens andre stadig er skadelig.
ESET opdager etapevis malware
En ny form for etapevis malware blev opdaget i 8 apps i Google Play ved sikkerhed selskab ESET. Malware, opdaget som Android/TrojanDropper.Agent.BKY af ESET, er dybest set en bank Trojan.
Apps blev opdaget temmelig hurtigt, derfor var kun i stand til at få et par hundrede downloads. Malwaren forklædt som Android rengøring eller nyheder apps. De har siden fjernet fra Google Play Store.
Når brugerne downloade apps, vil de ikke mærke noget mærkeligt som apps opfører sig som de forventes at af brugere, og beder ikke om nogen mærkelige tilladelser. Malwaren også beskæftiger etapevis arkitektur og kryptering til at forblive uopdaget.
Når det er downloadet, vil det udføre sine første fase nyttelast, hvilke vil indlede en anden etape nyttelast. Anden etape nyttelast henter derefter en app, tredje-fase nyttelast. Dette sker i baggrunden, brugerne ikke er således klar over.
Da ESET forklarer, er brugerne derefter bedt om at installere den downloadede app, som kunne være forklædt som en slags tilsyneladende legitim software. Den skadelig app vil derefter bede brugerne at tildele forskellige tilladelser, og hvis brugeren gør, app ville henrette den endelige payload, som er dybest set en bank Trojan.
Den bank trojanske vil derefter vise dig falske login skærme til at opnå dine legitimationsoplysninger eller kreditkortoplysninger.