Empat terpisah malware kampanye, penargetan pengguna Android, telah ditemukan di Google Play Store dalam beberapa hari terakhir. Malware, ditemukan oleh perusahaan keamanan yang berbeda, McAfee, Malwarebytes, Dr.Web dan ESET, yang menyamar sebagai sah aplikasi Google Play dan berhasil mendapatkan jutaan mingguan. Ini bukan pertama kalinya malware telah ditemukan di Google Play, tapi empat terpisah malware kampanye hanya beberapa hari agak mengkhawatirkan.
Grabos malware ditemukan di 144 apps Google Play
Sebagai McAfee rincian di report, Grabos malware ditemukan pada 144 apps pada Google Play Store. Tim penelitian Mobile perusahaan ini pertama kali ditemukan malware di pemutar audio musik Aristoteles 2017, sebuah pemutar audio gratis aplikasi. Sejak itu, 144 apps di Google Play telah ditemukan mengandung Grabos malware.
McAfee mencatat bahwa Aristoteles memiliki peringkat yang baik dan jutaan download, yang cukup untuk banyak pengguna untuk mempercayai aplikasi. Selain itu, 34 apps yang tim peneliti mampu menyelidiki juga memiliki peringkat yang baik, rata-rata 4.4, dan banyak mingguan. Lebih khusus lagi, antara 4.2 dan 17,4 juta.
Menurut McAfee, alasan aplikasi yang mampu untuk mem-bypass Google Play langkah-langkah keamanan adalah karena perangkat lunak jahat kode dilindungi dengan obfuscator komersial, yang sengaja membuat sulit untuk memeriksa aplikasi tanpa membukanya terlebih dahulu.
Perangkat perusak bertujuan untuk menipu pengguna men-download dan menginstal aplikasi dengan menampilkan pemberitahuan palsu. Jadi itu aman untuk mengatakan bahwa mereka berusaha untuk membuat keuntungan dengan mempromosikan app instalasi.
AsiaHitGroup malware membuatnya sulit untuk mengidentifikasi
Keamanan peneliti dari Malwarebytes baru-baru ini discovered karena perangkat lunak jahat telah telah menyamar sebagai aplikasi yang sah di Google Play. Malware, bernama AsiaHitGroup, pertama kali ditemukan dalam sebuah aplikasi QR scanner dengan nama “Generator kode Qr – Qr scanner” tetapi juga kemudian ditemukan di jam alarm app, app Kompas, foto editor app, aplikasi tes kecepatan Internet, dan sebuah aplikasi file explorer.
Ketika pengguna men-download aplikasi, itu akan bekerja sebagaimana mestinya pertama kalinya. Namun, setelah pengguna ada, itu menghilang. Pengguna tidak akan dapat menemukannya di mana saja dengan nama, yang membuatnya sulit untuk menyingkirkan. Peneliti mencatat bahwa app kemudian menyamar sebagai Download Manager. Jika pengguna tidak akrab dengan apa aplikasi yang mereka telah diinstal, menemukan malware secara manual pada dasarnya mustahil.
Malware akan memeriksa lokasi Anda hal pertama pada saat. Jika Anda berada di Asia, maka nama AsiaHitGroup, download SMS Trojan, yang akan berlangganan premium nomor telepon melalui SMS.
Trojan ditemukan di 9 apps dengan download antara 2,37 dan 11,7 juta
Perangkat lunak perusahaan Dr.Web discovered sebuah Trojan dalam 9 apps di Google Play. Ancaman, bernama Trojan Android.RemoteCode.106.origin oleh perusahaan, akan membuka situs web tanpa pengguna mengetahui dan membantu membuat pendapatan iklan untuk pemilik situs tersebut. Dr.Web di laporan ini juga menyebutkan bahwa Trojan dapat digunakan untuk melakukan serangan phishing dan mencuri informasi rahasia.
9 apps yang ditemukan mengandung kode berbahaya bervariasi dari permainan untuk aplikasi cadangan. Menurut Dr.Web, Trojan ditemukan dalam aplikasi berikut:
- Toko roti manis pertandingan 3-Swap dan terhubung 3 kue 3.0;
- Alkitab Trivia, versi 1.8;
- Alkitab Trivia-gratis, versi 2.4;
- Cepat bersih cahaya, versi 1.0;
- Membuat uang 1.9;
- Band permainan: Piano, gitar, Drum, versi 1.47;
- Kartun Racoon pertandingan 3 – perampokan permata Puzzle 2017, versi 1.0.2;
- Mudah Backup & Restore, versi 4.9.15;
- Belajar untuk bernyanyi, versi 1.2.
Setelah pengguna download app, Android.RemoteCode.106.origin akan memeriksa apakah perangkat memenuhi persyaratan. Jika perangkat terinfeksi tidak memiliki jumlah tertentu foto, kontak, atau panggilan telepon, Trojan tidak akan melakukan apa pun. Jika, namun, kondisi terpenuhi, Trojan akan mengunduh daftar modul, meluncurkan modul tambahan yang berbahaya yang mengembang statistik lalu lintas situs dan mengikuti link iklan.
Sejak Dr.Web dirilis laporan, kode berbahaya dihapus dari beberapa aplikasi, sementara yang lain masih tetap berbahaya.
ESET menemukan multi-tahap malware
Bentuk baru multi-tahap malware ditemukan pada 8 aplikasi di Google Play oleh keamanan perusahaan ESET. Malware, terdeteksi sebagai Android/TrojanDropper.Agent.BKY oleh ESET, pada dasarnya adalah Trojan perbankan.
Aplikasi ditemukan cukup cepat, sehingga mampu hanya untuk mendapatkan beberapa ratus mingguan. Malware menyamar sebagai aplikasi Android membersihkan atau berita. Mereka telah sejak dihapus dari Google Play Store.
Setelah pengguna men-download aplikasi, mereka akan tidak melihat sesuatu yang aneh seperti aplikasi berperilaku yang diharapkan oleh pengguna, dan tidak meminta izin setiap aneh. Malware juga mempekerjakan multi-tahap arsitektur dan enkripsi untuk tetap tidak terdeteksi.
Ketika itu download, itu akan menjalankan peledaknya tahap pertama, yang akan meluncurkan muatan tahap kedua. Tahap kedua payload kemudian download app, muatan tahap ketiga. Ini terjadi di latar belakang, sehingga pengguna tidak menyadari.
Sebagai ESET menjelaskan, pengguna kemudian diminta untuk menginstal download app, yang bisa menyamar sebagai beberapa jenis perangkat lunak yang tampaknya sah. App berbahaya akan kemudian meminta pengguna untuk memberikan izin berbagai, dan jika pengguna melakukan, app akan menjalankan payload akhir, yang pada dasarnya adalah Trojan perbankan.
Trojan perbankan kemudian akan menampilkan layar login palsu untuk mendapatkan mandat atau rincian kartu kredit Anda.