Fire separate malware kampanjer, valg av Android-brukere, har blitt oppdaget i Google Play Store i de siste dagene. Malware, oppdaget av ulike selskaper, McAfee, Malwarebytes, Dr.Web og ESET, var forkledd som legitime Google spille apps og klarte å få millioner nedlastinger. Dette er ikke første gang malware har blitt funnet i Google lek, men fire separate malware kampanjer i noen dager er ganske alarmerende.

Four different malware campaigns found in Google Play Store

Grabos malware i 144 Google spille apps

Som McAfee detaljer i en report, Grabos malware ble oppdaget i 144 programmer på Google Play Store. Selskapets Mobile forskerteam først oppdaget den skadelige programvaren Aristotle Music lydspiller 2017, en gratis lyd-spiller app. Siden da, 144 apps på Google lek er funnet for å inneholde Grabos malware.

McAfee bemerker at Aristotle hadde en god rating og millioner nedlastinger, som er nok for mange brukere å klarere en app. I tillegg 34 apps som forskerteamet kunne undersøke hadde også gode karakterer, gjennomsnittlig 4,4, og masse nedlastinger. Mer spesifikt, mellom 4.2 og 17,4 millioner.

Ifølge McAfee, grunnen apps var kjøpedyktig omkjøringsvei Google stykkets sikkerhetstiltak er fordi malware kode er beskyttet med en kommersiell obfuscator, som med hensikt gjør det vanskelig å undersøke en app uten å åpne det først.

Malware tar sikte på å lure brukere til å laste ned og installere programmer ved å vise falske varslinger. Så er det trygt å si at det prøver å gjøre en fortjeneste ved å fremme app installasjoner.

AsiaHitGroup malware gjør det vanskelig å identifisere den

Sikkerhetsforsker fra Malwarebytes nylig discovered det malware har vært posing som legitime programmer på Google lek. Malware, kalt AsiaHitGroup, ble først oppdaget i en QR skanner app med navnet «Qr koden generator-Qr skanner», men ble senere funnet i en Alarmklokke app, en kompass app, en foto editor app, en Internett hastighet test app og en arkiv utforske app.

Når brukere laster ned programmet, vil den fungere som det skal første gang. Men etter at brukeren eksisterer, forsvinner det. Brukere vil ikke kunne finne den noe sted ved navn, som gjør det vanskelig å bli kvitt. Forsker notatene som programmet så forkler seg som Download Manager. Hvis brukere ikke er kjent med hva apps de har installert, er finne malware manuelt egentlig umulig.

Malware vil sjekke plasseringen din første ved oppføring. Hvis du bor i Asia, derav navnet AsiaHitGroup, vil den laste ned en SMS Trojan, som vil abonnere på premium telefonnumre via SMS.

Trojan funnet i 9 apps med nedlastinger mellom 2.37 og 11,7 millioner

Programvare selskapet Dr.Web discovered en Trojan i 9 apps på Google lek. Trusselen, kalt trojanske Android.RemoteCode.106.origin av selskapet, vil åpne nettsteder uten brukeren å vite og gjøre annonseinntekter for eierne av disse nettstedene. Dr.Web’s rapporten bemerker også at trojanske kan brukes til å utføre phishing-angrep og stjele konfidensiell informasjon.

9 apps som ble funnet å inneholde koden varierte fra spill til backup programmer. Etter Dr.Web, ble Trojan funnet i følgende programmer:

  • Søt bakeri Match 3-bytte og koble 3 kaker 3.0;
  • Bibelen Trivia, versjon 1.8;
  • Bibelen Trivia-gratis, versjon 2.4;
  • Rask renere lys, versjon 1.0;
  • Tjene penger 1,9;
  • Band-spill: Piano, gitar, tromme, versjon 1,47;
  • Tegneserie Racoon Match 3 – ran perle Puzzle 2017, versjon 1.0.2;
  • Enkel sikkerhetskopiering og gjenoppretting, versjon 4.9.15;
  • Lære å synge, versjon 1.2.

Når brukere laster ned programmet, vil Android.RemoteCode.106.origin sjekke om enheten oppfyller kravene. Hvis infisert enheten ikke har et bestemt antall bilder, kontakter eller telefonsamtaler, vil Trojan ikke gjøre noe. Hvis imidlertid betingelsene er innfridd, vil trojanske laste ned en liste over moduler, lanseringen ondsinnet tilleggsmoduler for å øke nettsted trafikk statistikk og følg reklame lenker.

Siden Dr.Web utgitt rapporten, ble koden fjernet fra noen av apps, mens andre fortsatt være skadelig.

ESET oppdager flertrinns malware

En ny form for flertrinns malware ble oppdaget i 8 apps på Google lek av sikkerhet selskapet ESET. Malware, gjenkjent som Android/TrojanDropper.Agent.BKY av, er egentlig en bank Trojan.

Apps ble oppdaget ganske raskt, dermed var bare kunne få et par hundre nedlastinger. Malware utga seg som Android rengjøring eller nyheter apps. De har siden fjernet fra Google Play Store.

Når brukernes dataoverføre apps, ville de ikke merke noe rart som apps oppfører de forventes av brukere og ikke be om merkelige tillatelser. Malware benytter også flertrinns arkitektur og kryptering for å forbli uoppdaget.

Når den lastes, utføres den nyttelasten første fasen, som vil starte en andre fase nyttelast. Andre fase nyttelast laster deretter ned en app, tredje etappe nyttelast. Dette skjer i bakgrunnen, dermed brukere ikke er klar.

Som ESET forklarer, brukerne deretter bedt om å installere nedlastede programmet, som kan bli forkledd som en slags tilsynelatende legitim programvare. Ondsinnede programmet vil deretter be brukerne å gi ulike tillatelser, og hvis brukeren, programmet ville kjøre den siste nyttelasten, som er utgangspunktet en bank Trojan.

Bank Trojan viser deg deretter falske innloggingsskjermen å få din legitimasjon eller kredittkortopplysninger.

Legg igjen en kommentar