Fyra separata malware kampanjer, inriktning Android-användare, har upptäckts i Google Play Store de senaste dagarna. Malware, upptäckt av olika säkerhetsföretag, McAfee, Malwarebytes, Dr.Web och ESET, var förklädd till legitima appar från Google Play och lyckades få miljontals nedladdningar. Detta är inte första gången skadlig kod har hittats i Google Play, men fyra separata malware kampanjer i bara några dagar är ganska oroande.
Grabos malware hittade i 144 appar från Google Play
Som McAfee detaljer i en report, Grabos malware upptäcktes i 144 appar på Google Play Store. Företagets mobil forskargrupp upptäckt först malware i Aristotle Music audio player 2017, en fri audio spelarapp. Sen då, 144-appar på Google Play har visat sig innehålla Grabos malware.
McAfee noterar att Aristoteles hade en bra värdering och miljontals nedladdningar, vilket räcker för många användare att lita på en app. I tillägg, 34 appar som forskargruppen har kunnat undersöka hade också bra betyg, i genomsnitt 4,4, och massor av nedladdningar. Närmare bestämt mellan 4.2 och 17,4 miljoner.
Enligt McAfee, anledningen var appsna kringgå Google Play säkerhetsåtgärder är eftersom den malware kod skyddas med en kommersiell obfuscator, som avsiktligt gör det svårt att undersöka en app utan att öppna den första.
Skadlig kod syftar till att lura användare att hämta och installera program genom att visa falska meddelanden. Så det är säkert att säga att man försöker göra en vinst genom att främja appinstallationer.
AsiaHitGroup malware gör det svårt att identifiera den
Säkerhet forskare från Malwarebytes nyligen discovered att skadlig kod har poserar som legitima appar på Google Play. Malware, heter AsiaHitGroup, upptäcktes först i en QR-scanner app med namnet ”Qr code generator – Qr scanner” men hittades också senare i en väckarklocka app, en kompass app, en bildredaktör app, en Internet hastighet test app och en fil explorer-appen.
När användare ladda ner appen, fungerar det som det ska första gången. Efter användaren finns, försvinner det dock. Användare kommer inte att kunna hitta det någonstans efter namn, vilket gör det svårt att bli av. Forskare konstaterar att appen sedan förklär sig till Download Manager. Om användare inte är bekant med vilka appar som de har installerat, är det i princip omöjligt att hitta malware manuellt.
Malware kommer att kontrollera din plats första som vid inpassage. Om du befinner dig i Asien, därav namnet AsiaHitGroup, att den hämtar en SMS Trojan, som vill abonnera på premium telefonnummer via SMS.
Trojan hittats i 9 appar med nedladdningar mellan 2,37 och 11,7 miljoner
Programvara företaget Dr.Web discovered en Trojan i 9-appar på Google Play. Hotet, heter Trojan Android.RemoteCode.106.origin av företaget, skulle öppna webbplatser utan att användaren vet och hjälpa annonsintäkter för ägarna till dessa platser. Dr.Web’s rapport noterar också att trojanska kan användas för att utföra nätfiskeattacker och stjäla konfidentiell information.
9 appar som upptäckte att innehålla skadliga koden varierade från spel till backup apps. Enligt Dr.Web hittades Trojan i följande appar:
- Bakverk söta Match 3 – Swap och ansluta 3 kakor 3.0;
- Bibeln Trivia, version 1.8;
- Bibeln Trivia – gratis, version 2.4;
- Snabbt renare ljus, version 1.0;
- Tjäna pengar 1,9;
- Band spel: Piano, gitarr, trumma, version 1,47;
- Cartoon Racoon Match 3 – rån Gem pussel 2017, version 1.0.2;
- Enkel säkerhetskopiering & återställning, version 4.9.15;
- Lär dig att sjunga, version 1.2.
När användarna hämtar appen, kommer att Android.RemoteCode.106.origin kontrollera om enheten uppfyller kraven. Om den infekterade enheten inte har ett visst antal foton, kontakter eller telefonsamtal, Trojan kommer inte att göra något. Om dock villkoren är uppfyllda, kommer att Trojan hämta en lista över moduler, starta skadlig tilläggsmoduler för att blåsa upp webbplats trafik statistik och följ reklamlänkar.
Sedan Dr.Web släppt rapporten, togs den skadliga koden bort från några av apps, medan andra fortfarande är skadliga.
ESET upptäcker etappvis malware
En ny form av etappvis malware upptäcktes i 8 appar på Google Play av säkerhet företaget ESET. Upptäckt skadlig kod, som Android/TrojanDropper.Agent.BKY av ESET, är i grunden en bank Trojan.
Appar upptäcktes ganska snabbt, således kunde bara få ett par hundra nedladdningar. Malware sades vara Android rengöring eller nyheter apps. De har sedan dess tagits bort från Google Play Store.
När användare laddar ner appar, skulle de inte märka något konstigt som apparna beter sig som de förväntas av användare, och ber inte om några konstiga behörigheter. Malware sysselsätter också etappvis arkitektur och kryptering för att förbli oupptäckt.
När det laddas, kommer att det utföra sin första etappen nyttolast, vilket kommer att öppna en andra etappen nyttolast. Andra etappen nyttolasten hämtar sedan en app, den tredje etapp nyttolasten. Detta händer i bakgrunden, således användarna inte är medveten om.
Som ESET förklarar, uppmanas användarna sedan installera den nedladdade app, som kunde vara förklädd till någon form av synes legitima programvara. Skadliga appen ber sedan användare att tilldela olika behörigheter, och om användaren gör, appen skulle utföra den slutliga nyttolast, vilket egentligen är en bank Trojan.
Den bank trojanen sedan visar falska logginskärm att få dina autentiseringsuppgifter eller kreditkortsuppgifter.