Ερευνητές κυβερνοασφάλειας της Zscaler ανακάλυψαν τρεις οικογένειες Android malware, “Joker“, “Facestealer” και “Coper“, που κατάφεραν να διεισδύσουν στο Google Play Store, κρύβοντας τα κακόβουλα payloads τους μέσα σε φαινομενικά ακίνδυνες εφαρμογές.
Οι χρήστες που έχουν εγκαταστήσει στις Android συσκευές τους αυτές τις κακόβουλες εφαρμογές κινδυνεύουν, καθώς τα “Joker”, “Facestealer” και “Coper” malware επιτρέπουν την κλοπή δεδομένων, την ανάληψη ελέγχου λογαριασμών μέσων κοινωνικής δικτύωσης, την υποκλοπή SMS, ενώ επίσης μπορούν να χρεώσουν κρυφά τους χρήστες εγγράφοντάς τους σε συνδρομητικές υπηρεσίες.
Δείτε επίσης: Knauf: Η γερμανική εταιρεία έπεσε θύμα κυβερνοεπίθεσης
Οι αναλυτές ενημέρωσαν την Google για τα ευρήματά τους και έκτοτε όλες οι εφαρμογές αφαιρέθηκαν από το Play Store. Ωστόσο, όσοι εξακολουθούν να χρησιμοποιούν αυτές τις κακόβουλες εφαρμογές θα πρέπει να τις απεγκαταστήσουν από τις συσκευές τους και να πραγματοποιήσουν μια αναβάθμιση της συσκευής για να ξεριζώσουν τυχόν υπολείμματα.
Joker Android malware
Το Joker είναι ένα πολύ γνωστό Android malware και χρησιμοποιείται για την κλοπή πληροφοριών από παραβιασμένες συσκευές. Το κακόβουλο λογισμικό μπορεί να κλέψει μηνύματα SMS και λίστες επαφών του θύματος, ενώ παράλληλα εγγράφει τους χρήστες κρυφά σε premium υπηρεσίες, χρεώνοντάς τους.
Σύμφωνα με την αναφορά των ερευνητών της Zscaler, 50 εφαρμογές τουλάχιστον έκρυβαν το Joker. Αυτές οι εφαρμογές είχαν συνολικά πάνω από 300.000 λήψεις στο Play Store.
Simple Note Scanner – com.wuwan.pdfscan |
Universal PDF Scanner – com.unpdf.scan.read.docscanuniver |
Private Messenger – com.recollect.linkus |
Premium SMS – com.premium.put.trustsms |
Smart Messages – com.toukyoursms.timemessages |
Text Emoji SMS – messenger.itext.emoji.mesenger |
Blood Pressure Checker – com.bloodpressurechecker.tangjiang |
Funny Keyboard – com.soundly.galaxykeyboard |
Memory Silent Camera – com.silentmenory.timcamera |
Custom Themed Keyboard – com.custom.keyboardthemes.galaxiy |
Light Messages – com.lilysmspro.lighting |
Themes Photo Keyboard – com.themes.bgphotokeyboard |
Send SMS – exazth.message.send.text.sms |
Themes Chat Messenger – com.relish.messengers |
Instant Messenger – com.sbdlsms.crazymessager.mmsrec |
Cool Keyboard – com.colate.gthemekeyboard |
Fonts Emoji Keyboard – com.zemoji.fontskeyboard |
Mini PDF Scanner – com.mnscan.minipdf |
Smart SMS Messages – com.sms.mms.message.ffei.free |
Creative Emoji Keyboard – com.whiteemojis.creativekeyboard.ledsloard |
Fancy SMS – con.sms.fancy |
Fonts Emoji Keyboard – com.symbol.fonts.emojikeyboards |
Personal Message – com.crown.personalmessage |
Funny Emoji Message – com.funie.messagremo |
Magic Photo Editor – com.amagiczy.photo.editor |
Professional Messages – com.adore.attached.message |
All Photo Translator – myphotocom.allfasttranslate.transationtranslator |
Chat SMS – com.maskteslary.messages |
Smile Emoji – com.balapp.smilewall.emoji |
Wow Translator – com.imgtop.camtranslator |
All Language Translate – com.exclusivez.alltranslate |
Cool Messages – com.learningz.app.cool.messages |
Blood Pressure Diary – bloodhold.nypressure.mainheart.ratemy.mo.depulse.app.tracker.diary |
Chat Text SMS – com.echatsms.messageos |
Hi Text SMS – ismos.mmsyes.message.texthitext.bobpsms |
Emoji Theme Keyboard – com.gobacktheme.lovelyemojikeyboard |
iMessager – start.me.messager |
Text SMS – com.ptx.textsms |
Camera Translator – com.haixgoback.outsidetext.languagecameratransla |
Come Messages – com.itextsms.messagecoming |
Painting Photo Editor – com.painting.pointeditor.photo |
Rich Theme Message – com.getmanytimes.richsmsthememessenge |
Quick Talk Message – mesages.qtsms.messenger |
Advanced SMS – com.fromamsms.atadvancedmmsopp |
Professional Messenger – com.akl.smspro.messenger |
Classic Game Messenger – com.classcolor.formessenger.sic |
Style Message – com.istyle.messagesty |
Private Game Messages – com.message.game.india |
Timestamp Camera – allready.taken.photobeauty.camera.timestamp |
Social Message – com.colorsocial.message |
Σχεδόν οι μισές από αυτές ήταν εφαρμογές επικοινωνίας, για να απαιτούν εύκολα από τους χρήστες να δίνουν άδεια για πρόσβαση σε ευαίσθητες πληροφορίες. Επομένως είναι ευκολότερο για το κακόβουλο λογισμικό να αποκτήσει τα προνόμια υψηλού επιπέδου που απαιτούνται για την κακόβουλη λειτουργία του.
Δείτε επίσης: Magecart: Κλάπηκαν 50.000 πιστωτικές κάρτες από 300 εστιατόρια
Σύμφωνα με τους ερευνητές, οι προγραμματιστές του Joker κρύβουν τώρα το payload σε ένα κοινό asset file, σε ασαφή μορφή base64, δίνοντάς του μερικές φορές επέκταση αρχείου JSON, TTF, PNG.
“Πολλές εφαρμογές Joker κρύβουν το payload στο assets folder του Android Package Kit (APK) και δημιουργούν ένα εκτελέσιμο ARM ABI για να αποφύγουν τον εντοπισμό από τα περισσότερα sandboxes που βασίζονται στην αρχιτεκτονική x86“, εξηγεί h Zscaler στην αναφορά.
Facestealer Android malware
Όπως φαίνεται και από το ίδιο το όνομα, το Facestealer malware κλέβει λογαριασμούς Facebook χρησιμοποιώντας ψεύτικες φόρμες σύνδεσης.
Οι ερευνητές βρήκαν μια εφαρμογή που κρύβει τη συγκεκριμένη οικογένεια κακόβουλου λογισμικού στον κώδικά της. Πρόκειται για μια φαινομενικά ακίνδυνη εφαρμογή που ονομάζεται “Vanilla Snap Camera“, και έχει γίνει λήψη περίπου 5.000 φορές.
Coper Android malware
Το Coper είναι ένα κακόβουλο λογισμικό που κλέβει πληροφορίες, όπως μηνύματα SMS, ενώ μπορεί ακόμα να καταγράφει κείμενο που εισάγεται στις συσκευές, να εκτελεί επιθέσεις overlay, να στέλνει κακόβουλα μηνύματα SMS και να στέλνει δεδομένα πίσω στους διακομιστές του εισβολέα.
Οι αναλυτές της Zscaler βρήκαν τουλάχιστον μία εφαρμογή, με την ονομασία “Unicc QR Scanner“, που έκρυβε το Coper στον κώδικά της και έθεσε σε κίνδυνο περίπου 1.000 συσκευές.
Δείτε επίσης: Γιατί οι χάκερ στρέφονται στις υπηρεσίες αποθήκευσης cloud;
Αν και η ίδια η εφαρμογή δεν περιέχει αρχικά κακόβουλο κώδικα, μόλις εγκατασταθεί και ανοίξει στη συσκευή, θα κατεβάσει το κακόβουλο λογισμικό μέσω μιας ψεύτικης ενημέρωσης προγράμματος.
Πώς να παραμείνετε ασφαλείς
Για να παραμείνετε ασφαλείς και να μην μολυνθείτε με κάποιο Android malware, αποφύγετε την εγκατάσταση πολλών εφαρμογών. Βεβαιωθείτε ότι κατεβάζετε στη συσκευή σας μόνο τις απολύτως απαραίτητες εφαρμογές και πριν το κάνετε διαβάστε κριτικές άλλων χρηστών για να δείτε αν λένε κάτι περίεργο. Επίσης, επιλέξτε εφαρμογές μόνο από γνωστούς και μεγάλους publishers. Τέλος, πριν την εγκατάσταση, ελέγξτε καλά τα δικαιώματα που ζητά η εφαρμογή και αποφύγετε την παραχώρηση πρόσβασης σε ευαίσθητα δεδομένα, ειδικά εάν δεν φαίνεται να συνδέονται με τη βασική λειτουργικότητα της εφαρμογής.
Επίσης, βεβαιωθείτε ότι το Play Protect είναι ενεργό στη συσκευή σας και παρακολουθήστε τακτικά τα δεδομένα δικτύου και την κατανάλωση μπαταρίας για να ανακαλύψετε τυχόν ύποπτες διεργασίες που εκτελούνται στο παρασκήνιο.
Πηγή: www.bleepingcomputer.com