Cztery oddzielne malware kampanii, kierowanych Android użytkowników, zostały odkryte w Google Play Store w ciągu ostatnich kilku dni. Złośliwego oprogramowania, odkryta przez zabezpieczeń innej firmy, McAfee, Malwarebytes, Dr.Web i ESET, przebrało się uzasadnione aplikacje w Google Play i udało się uzyskać milionów pliki do pobrania. To nie jest złośliwe oprogramowanie zostało znalezione w Google Play po raz pierwszy, ale cztery kampanie oddzielne złośliwego oprogramowania w ciągu kilku dni jest raczej niepokojące.
Grabos złośliwe oprogramowanie znaleziono 144 aplikacje w Google Play
Jak McAfee szczegóły w report, Grabos malware został znaleziony w 144 aplikacje na Google Play Store. Zespół badawczy Mobile firmy po raz pierwszy odkryta złośliwego oprogramowania odtwarzacza muzyki Aristotle audio 2017, app darmowy odtwarzacz audio. Od wtedy, 144 stwierdzono aplikacje w Google Play zawiera Grabos złośliwe oprogramowanie.
McAfee zauważa, że Arystoteles miał dobre oceny i milionów pliki do pobrania, co jest wystarczające dla wielu użytkowników do zaufania aplikacji. Ponadto, 34 aplikacje, które zespół badawczy był w stanie zbadać również miał dobre oceny, średnio 4,4 i mnóstwo pliki do pobrania. W szczególności między 4.2 i 17,4 mln.
Według McAfee, dlatego aplikacje były w stanie ominąć Google Play jest środki bezpieczeństwa, ponieważ malware kod jest chroniony za pomocą komercyjnych faktem, który celowo sprawia, że trudno zbadać aplikacji bez konieczności otwierania go po raz pierwszy.
Złośliwe oprogramowanie ma na celu nakłonić użytkowników do pobierania i instalowania aplikacji, pokazując fałszywe powiadomienia. Tak to śmiało powiedzieć, że to stara się zarobić poprzez promowanie instalacji aplikacji.
AsiaHitGroup malware sprawia, że trudno go zidentyfikować
Analityka systemów zabezpieczeń z Malwarebytes niedawno discovered tego malware ma zostały udając legalne aplikacje w Google Play. Złośliwego oprogramowania, o nazwie AsiaHitGroup, został odkryty w skaner QR aplikacji o nazwie „Qr code generator – Qr scanner”, ale również później znaleziono aplikację Budzik, kompas app, Edytor zdjęć aplikacja, aplikacja test prędkości Internetu i aplikacji Eksplorator plików.
Gdy użytkownicy pobrać aplikację, to będzie działać tak jak powinno po raz pierwszy. Jednak po użytkownik istnieje, to znika. Użytkownicy nie będą mogli go nigdzie znaleźć według nazwy, co sprawia, że trudno się pozbyć. Badacz stwierdza, że aplikacja następnie maskuje się jako Download Manager. Jeśli użytkownicy nie są zaznajomieni z jakie aplikacje mają zainstalowany, ręcznie znalezienie malware jest w zasadzie niemożliwe.
Złośliwe oprogramowanie będzie sprawdzić swoją lokalizację, pierwszą rzeczą, którą po wejściu. Jeśli znajdujesz się w Azji, stąd nazwa AsiaHitGroup, będzie pobrać Trojan SMS, który będzie zapisać się do numerów premium SMS.
Trojan: znaleziono 9 aplikacje między 2.37 i 11,7 mln pliki do pobrania
Oprogramowanie firmy Dr.Web discovered a Trojan w 9 aplikacji w sklepie Google Play. Zagrożenie, o nazwie Trojan Android.RemoteCode.106.origin przez firmę, by otworzyć stron internetowych bez wiedzy użytkownika i pomóc przychodów z reklam dla właścicieli tych witryn. Dr.Web w sprawozdaniu odnotowano również, że Trojan może służyć do wykonywania ataków typu phishing i kradzieży poufnych informacji.
9 aplikacje, które zostały wykryte zawierają szkodliwy kod wahała się od gry do tworzenia kopii zapasowych. Według Dr.Web Trojan znaleziono następujące aplikacje:
- Piekarnia Słodki mecz 3 – do wymiany i połączyć 3 ciasta 3.0;
- Biblia Ciekawostki, wersja 1.8;
- Biblia Ciekawostki – darmowe, wersja 2.4;
- Szybko Cleaner światła, wersja 1.0;
- Zarabiać pieniądze 1,9;
- Zespół gra: Fortepian, gitara, bęben, wersja 1.47;
- Kreskówka Racoon Match 3 – rozbój Gem Puzzle 2017, wersja 1.0.2;
- Easy Backup & Restore, wersja 4.9.15;
- Naucz się śpiewać, wersja 1.2.
Po użytkowników pobrań aplikacji, Android.RemoteCode.106.origin będzie Sprawdź, czy urządzenie spełnia wymagania. Jeśli zainfekowany urządzenie ma określoną liczbę zdjęć, kontakty i połączenia telefoniczne, Trojan nic nie zrobią. Jeżeli jednak warunki są spełnione, Trojan będzie pobrać listę modułów, uruchomić dodatkowe złośliwy modułów, aby napompować statystyki ruchu witryny, a następnie linki reklamowe.
Od Dr.Web wydany raport, złośliwy kod został usunięty z niektórych aplikacji, podczas gdy inni nadal złośliwy.
ESET wykrywa malware wielostopniowe
Nowa forma wielostopniowej malware został znaleziony w 8 aplikacje w Google Play przez zabezpieczeń firmy ESET. Malware, wykrywany jako Android/TrojanDropper.Agent.BKY przez firmę ESET, jest w zasadzie trojanami bankowymi.
Aplikacje zostały odkryte dość szybko, więc tylko byli w stanie uzyskać kilka kilkaset pobrań. Złośliwe oprogramowanie było pozowanie jako aplikacje Android czyszczenia lub wiadomości. One od tego czasu usunięto z Google Play Store.
Gdy użytkownicy pobrać aplikacje, nie zauważą coś dziwne jak aplikacje zachowują się jak oczekuje się przez użytkowników, a nie pytać o żadnych dziwnych uprawnień. Złośliwego oprogramowania zatrudnia również wielostopniowej architektury i szyfrowania, aby pozostać niewykryte.
Po pobraniu będzie wykonywał jego pierwszego etapu ładunku, który rozpocznie się drugi etap ładunku. Drugi etap ładunku następnie pliki do pobrania aplikacji, ładunek trzeciego etapu. To dzieje się w tle, w ten sposób użytkowników nie jest świadoma.
Jak wyjaśnia, ESET, użytkowników jest poprosił, aby zainstalować pobraną aplikację, która może być zamaskowane jako pewnego rodzaju pozornie legalnego oprogramowania. Złośliwa aplikacja następnie prosić użytkowników różne uprawnienia, i jeśli użytkownik nie, aplikacja jest wykonywany końcowe ładunku, który jest w zasadzie trojanami bankowymi.
Bankowymi Trojan następnie pokaże Ci ekrany logowania fałszywe uzyskanie poświadczeń lub dane karty kredytowej.