Sklep Play Google: trojan ukryty w aplikacji. Czyściła konta bankowe zamiast smartfona Strona główna Aktualności06.07.2020 18:06 Zespół Prebytes wykrył niebezpieczną aplikację w Sklepie Play Google'a /fot. GettyImages Udostępnij: O autorze Arkadiusz Stando @coldrain Zespół PREBYTES Security Incident Response Team wykrył w Sklepie Play aplikację, której zainstalowanie mogło doprowadzić do pobrania niebezpiecznego malware Cerberus. Autorzy w sprytny sposób maskowali złośliwe oprogramowanie. Na szczęście statystyka pobrań wynosi tylko "powyżej 10 tysięcy". Złośliwe oprogramowanie z rodziny Cerberus pojawia się w schematach ataku polegających na phishingu. Oszuści próbują przekonać ofiary do zainstalowania oprogramowania przesłanego za pomocą wiadomości SMS lub e-mail. Zwykle podszywają się pod duże, znane marki. Niekiedy takie złośliwe oprogramowanie kryje się też w aplikacjach pobieranych z niezweryfikowanych źródeł. Cerberus w Sklepie Play Google? Nieprawdopodobne, a jednak Odkąd Google wprowadził PlayProtect, a także prowadzi własny program nagród za wykrywanie złośliwych aplikacji, ilość malware zdecydowanie spadła. Dzięki lepszym zabezpieczeniom, większość z nich praktycznie nie trafia do marketu. Jednak jak widać niektórym programom udaje się ominąć bramki Google'a. Takim przykładem jest właśnie Best Cleaner. Jak można się domyślić po jej nazwie, aplikacja ma służyć jako narzędzie do oczyszczania smartfona, przyśpieszania jego pracy itp. Program wymagał od użytkownika zgody na dostęp do zdjęć, multimediów, plików na telefonie oraz na nawiązywanie połączeń telefonicznych. Jeśli ofiara nie wyraziła zgody, to nie mogła korzystać z aplikacji. fot. Prebytes Po uruchomieniu aplikacji i kliknięciu Rozpocznij czyszczenie zaczynała się atak. W tym momencie użytkownikowi smartfona wyskakiwał komunikat z prośbą o zainstalowanie dodatkowej "wtyczki". Aby to zrobić, aplikacja wymagała, aby w ustawieniach urządzenia włączyć opcję "zezwalaj na instalację z nieznanych źródeł". Faza druga – atak z wykorzystaniem Cerberusa Następnie Best Cleaner rozpoczyna pobieranie i instalację Bestcleaner. Nie jest to żadna wtyczka, czy "dodatkowa biblioteka" - jak opisano to w aplikacji, a złośliwe oprogramowanie typu Cerberus. Po zainstalowaniu, aplikacja żąda o dostęp do Bestcleaner activation, chociaż w rzeczywistości jest to zapytanie o dostęp do funkcji "ułatwienia dostępu", co następnie pozwala na dodanie się jako administrator urządzenia. fot. Prebytes Następnie aplikacja działa w tle i wyszukuje aplikacje bankowe. Jeśli użytkownik spróbuje zalogować się do banku, to nad programem wyświetli się nakładka imitująca oryginalny panel logowania. Jeśli ofiara wpisze login i hasło, to informacje natychmiast trafią do cyberprzestępców. Potwierdzenie kodem SMS nie pomoże, ponieważ jeśli wiadomość dotrze na ten sam smartfon, to atakujący również uzyskają do niej dostęp. Cerberus jest w stanie rozpoznać aplikację każdego banku dostępnego w Polsce, ale i większości na całym świecie. fot. Prebytes fot. Prebytes Aplikacja zniknęła już ze Sklepu Play Google'a. W okresie aktywności od 9 kwietnia 2020 roku do czerwca pobrano ją ponad 10 tysięcy razy. Co więcej, aplikacja była reklamowana na niektóre hasła związane z czyszczeniem urządzenia, więc można było uznać ją za prawdziwą. Przestępcy zadbali także o aktualizowania aplikacji i wystawianie jej fałszywych recenzji, aby zwiększyć wiarygodność. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Google usunął 813 szkodliwych aplikacji ze Sklepu Play. Pomógł algorytm CreepRank 13 maj 2020 Arkadiusz Stando Oprogramowanie Internet Bezpieczeństwo 45 Google Sklep Play: 24 tys. aplikacji ujawnia wrażliwe dane użytkownika 15 maj 2020 Piotr Urbaniak Internet Bezpieczeństwo 25 Google usunął 104 aplikacje ze Sklepu Play. Wykradały prywatne dane użytkowników 24 kwi 2020 Arkadiusz Stando Oprogramowanie Internet Bezpieczeństwo 69 Google Sklep Play: usunięto 25 aplikacji, które wykradały loginy i hasła 2 lip 2020 Arkadiusz Stando Oprogramowanie Internet Bezpieczeństwo 57
Udostępnij: O autorze Arkadiusz Stando @coldrain Zespół PREBYTES Security Incident Response Team wykrył w Sklepie Play aplikację, której zainstalowanie mogło doprowadzić do pobrania niebezpiecznego malware Cerberus. Autorzy w sprytny sposób maskowali złośliwe oprogramowanie. Na szczęście statystyka pobrań wynosi tylko "powyżej 10 tysięcy". Złośliwe oprogramowanie z rodziny Cerberus pojawia się w schematach ataku polegających na phishingu. Oszuści próbują przekonać ofiary do zainstalowania oprogramowania przesłanego za pomocą wiadomości SMS lub e-mail. Zwykle podszywają się pod duże, znane marki. Niekiedy takie złośliwe oprogramowanie kryje się też w aplikacjach pobieranych z niezweryfikowanych źródeł. Cerberus w Sklepie Play Google? Nieprawdopodobne, a jednak Odkąd Google wprowadził PlayProtect, a także prowadzi własny program nagród za wykrywanie złośliwych aplikacji, ilość malware zdecydowanie spadła. Dzięki lepszym zabezpieczeniom, większość z nich praktycznie nie trafia do marketu. Jednak jak widać niektórym programom udaje się ominąć bramki Google'a. Takim przykładem jest właśnie Best Cleaner. Jak można się domyślić po jej nazwie, aplikacja ma służyć jako narzędzie do oczyszczania smartfona, przyśpieszania jego pracy itp. Program wymagał od użytkownika zgody na dostęp do zdjęć, multimediów, plików na telefonie oraz na nawiązywanie połączeń telefonicznych. Jeśli ofiara nie wyraziła zgody, to nie mogła korzystać z aplikacji. fot. Prebytes Po uruchomieniu aplikacji i kliknięciu Rozpocznij czyszczenie zaczynała się atak. W tym momencie użytkownikowi smartfona wyskakiwał komunikat z prośbą o zainstalowanie dodatkowej "wtyczki". Aby to zrobić, aplikacja wymagała, aby w ustawieniach urządzenia włączyć opcję "zezwalaj na instalację z nieznanych źródeł". Faza druga – atak z wykorzystaniem Cerberusa Następnie Best Cleaner rozpoczyna pobieranie i instalację Bestcleaner. Nie jest to żadna wtyczka, czy "dodatkowa biblioteka" - jak opisano to w aplikacji, a złośliwe oprogramowanie typu Cerberus. Po zainstalowaniu, aplikacja żąda o dostęp do Bestcleaner activation, chociaż w rzeczywistości jest to zapytanie o dostęp do funkcji "ułatwienia dostępu", co następnie pozwala na dodanie się jako administrator urządzenia. fot. Prebytes Następnie aplikacja działa w tle i wyszukuje aplikacje bankowe. Jeśli użytkownik spróbuje zalogować się do banku, to nad programem wyświetli się nakładka imitująca oryginalny panel logowania. Jeśli ofiara wpisze login i hasło, to informacje natychmiast trafią do cyberprzestępców. Potwierdzenie kodem SMS nie pomoże, ponieważ jeśli wiadomość dotrze na ten sam smartfon, to atakujący również uzyskają do niej dostęp. Cerberus jest w stanie rozpoznać aplikację każdego banku dostępnego w Polsce, ale i większości na całym świecie. fot. Prebytes fot. Prebytes Aplikacja zniknęła już ze Sklepu Play Google'a. W okresie aktywności od 9 kwietnia 2020 roku do czerwca pobrano ją ponad 10 tysięcy razy. Co więcej, aplikacja była reklamowana na niektóre hasła związane z czyszczeniem urządzenia, więc można było uznać ją za prawdziwą. Przestępcy zadbali także o aktualizowania aplikacji i wystawianie jej fałszywych recenzji, aby zwiększyć wiarygodność. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji