Sklep Play Google: trojan ukryty w aplikacji. Czyściła konta bankowe zamiast smartfona Strona główna Aktualności06.07.2020 18:06 Zespół Prebytes wykrył niebezpieczną aplikację w Sklepie Play Google'a /fot. GettyImages Udostępnij: O autorze Arkadiusz Stando @coldrain Zespół PREBYTES Security Incident Response Team wykrył w Sklepie Play aplikację, której zainstalowanie mogło doprowadzić do pobrania niebezpiecznego malware Cerberus. Autorzy w sprytny sposób maskowali złośliwe oprogramowanie. Na szczęście statystyka pobrań wynosi tylko "powyżej 10 tysięcy". Złośliwe oprogramowanie z rodziny Cerberus pojawia się w schematach ataku polegających na phishingu. Oszuści próbują przekonać ofiary do zainstalowania oprogramowania przesłanego za pomocą wiadomości SMS lub e-mail. Zwykle podszywają się pod duże, znane marki. Niekiedy takie złośliwe oprogramowanie kryje się też w aplikacjach pobieranych z niezweryfikowanych źródeł. Cerberus w Sklepie Play Google? Nieprawdopodobne, a jednak Odkąd Google wprowadził PlayProtect, a także prowadzi własny program nagród za wykrywanie złośliwych aplikacji, ilość malware zdecydowanie spadła. Dzięki lepszym zabezpieczeniom, większość z nich praktycznie nie trafia do marketu. Jednak jak widać niektórym programom udaje się ominąć bramki Google'a. Takim przykładem jest właśnie Best Cleaner. Jak można się domyślić po jej nazwie, aplikacja ma służyć jako narzędzie do oczyszczania smartfona, przyśpieszania jego pracy itp. Program wymagał od użytkownika zgody na dostęp do zdjęć, multimediów, plików na telefonie oraz na nawiązywanie połączeń telefonicznych. Jeśli ofiara nie wyraziła zgody, to nie mogła korzystać z aplikacji. fot. Prebytes Po uruchomieniu aplikacji i kliknięciu Rozpocznij czyszczenie zaczynała się atak. W tym momencie użytkownikowi smartfona wyskakiwał komunikat z prośbą o zainstalowanie dodatkowej "wtyczki". Aby to zrobić, aplikacja wymagała, aby w ustawieniach urządzenia włączyć opcję "zezwalaj na instalację z nieznanych źródeł". Faza druga – atak z wykorzystaniem Cerberusa Następnie Best Cleaner rozpoczyna pobieranie i instalację Bestcleaner. Nie jest to żadna wtyczka, czy "dodatkowa biblioteka" - jak opisano to w aplikacji, a złośliwe oprogramowanie typu Cerberus. Po zainstalowaniu, aplikacja żąda o dostęp do Bestcleaner activation, chociaż w rzeczywistości jest to zapytanie o dostęp do funkcji "ułatwienia dostępu", co następnie pozwala na dodanie się jako administrator urządzenia. fot. Prebytes Następnie aplikacja działa w tle i wyszukuje aplikacje bankowe. Jeśli użytkownik spróbuje zalogować się do banku, to nad programem wyświetli się nakładka imitująca oryginalny panel logowania. Jeśli ofiara wpisze login i hasło, to informacje natychmiast trafią do cyberprzestępców. Potwierdzenie kodem SMS nie pomoże, ponieważ jeśli wiadomość dotrze na ten sam smartfon, to atakujący również uzyskają do niej dostęp. Cerberus jest w stanie rozpoznać aplikację każdego banku dostępnego w Polsce, ale i większości na całym świecie. fot. Prebytes fot. Prebytes Aplikacja zniknęła już ze Sklepu Play Google'a. W okresie aktywności od 9 kwietnia 2020 roku do czerwca pobrano ją ponad 10 tysięcy razy. Co więcej, aplikacja była reklamowana na niektóre hasła związane z czyszczeniem urządzenia, więc można było uznać ją za prawdziwą. Przestępcy zadbali także o aktualizowania aplikacji i wystawianie jej fałszywych recenzji, aby zwiększyć wiarygodność. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Google Play w odświeżonej wersji już u wszystkich użytkowników 23 sie 2019 Miron Nurski Oprogramowanie 46 Google usunęło 85 niebezpiecznych aplikacji ze Sklepu Play. Pobrało je 8 milionów 17 sie 2019 Arkadiusz Stando Oprogramowanie Bezpieczeństwo 150 Usługi Google Play: uwaga na nową wersję. Drenuje baterię 12 sie 2019 Miron Nurski Oprogramowanie 71 Szkodliwa aplikacja w Google Play. CamScanner miał ponad 100 mln pobrań 28 sie 2019 Anna Rymsza Oprogramowanie Bezpieczeństwo 155
Udostępnij: O autorze Arkadiusz Stando @coldrain Zespół PREBYTES Security Incident Response Team wykrył w Sklepie Play aplikację, której zainstalowanie mogło doprowadzić do pobrania niebezpiecznego malware Cerberus. Autorzy w sprytny sposób maskowali złośliwe oprogramowanie. Na szczęście statystyka pobrań wynosi tylko "powyżej 10 tysięcy". Złośliwe oprogramowanie z rodziny Cerberus pojawia się w schematach ataku polegających na phishingu. Oszuści próbują przekonać ofiary do zainstalowania oprogramowania przesłanego za pomocą wiadomości SMS lub e-mail. Zwykle podszywają się pod duże, znane marki. Niekiedy takie złośliwe oprogramowanie kryje się też w aplikacjach pobieranych z niezweryfikowanych źródeł. Cerberus w Sklepie Play Google? Nieprawdopodobne, a jednak Odkąd Google wprowadził PlayProtect, a także prowadzi własny program nagród za wykrywanie złośliwych aplikacji, ilość malware zdecydowanie spadła. Dzięki lepszym zabezpieczeniom, większość z nich praktycznie nie trafia do marketu. Jednak jak widać niektórym programom udaje się ominąć bramki Google'a. Takim przykładem jest właśnie Best Cleaner. Jak można się domyślić po jej nazwie, aplikacja ma służyć jako narzędzie do oczyszczania smartfona, przyśpieszania jego pracy itp. Program wymagał od użytkownika zgody na dostęp do zdjęć, multimediów, plików na telefonie oraz na nawiązywanie połączeń telefonicznych. Jeśli ofiara nie wyraziła zgody, to nie mogła korzystać z aplikacji. fot. Prebytes Po uruchomieniu aplikacji i kliknięciu Rozpocznij czyszczenie zaczynała się atak. W tym momencie użytkownikowi smartfona wyskakiwał komunikat z prośbą o zainstalowanie dodatkowej "wtyczki". Aby to zrobić, aplikacja wymagała, aby w ustawieniach urządzenia włączyć opcję "zezwalaj na instalację z nieznanych źródeł". Faza druga – atak z wykorzystaniem Cerberusa Następnie Best Cleaner rozpoczyna pobieranie i instalację Bestcleaner. Nie jest to żadna wtyczka, czy "dodatkowa biblioteka" - jak opisano to w aplikacji, a złośliwe oprogramowanie typu Cerberus. Po zainstalowaniu, aplikacja żąda o dostęp do Bestcleaner activation, chociaż w rzeczywistości jest to zapytanie o dostęp do funkcji "ułatwienia dostępu", co następnie pozwala na dodanie się jako administrator urządzenia. fot. Prebytes Następnie aplikacja działa w tle i wyszukuje aplikacje bankowe. Jeśli użytkownik spróbuje zalogować się do banku, to nad programem wyświetli się nakładka imitująca oryginalny panel logowania. Jeśli ofiara wpisze login i hasło, to informacje natychmiast trafią do cyberprzestępców. Potwierdzenie kodem SMS nie pomoże, ponieważ jeśli wiadomość dotrze na ten sam smartfon, to atakujący również uzyskają do niej dostęp. Cerberus jest w stanie rozpoznać aplikację każdego banku dostępnego w Polsce, ale i większości na całym świecie. fot. Prebytes fot. Prebytes Aplikacja zniknęła już ze Sklepu Play Google'a. W okresie aktywności od 9 kwietnia 2020 roku do czerwca pobrano ją ponad 10 tysięcy razy. Co więcej, aplikacja była reklamowana na niektóre hasła związane z czyszczeniem urządzenia, więc można było uznać ją za prawdziwą. Przestępcy zadbali także o aktualizowania aplikacji i wystawianie jej fałszywych recenzji, aby zwiększyć wiarygodność. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji