Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Aprindeți lanterna și dați-mi parolele!

2017-04-23

Utilizatorii Android au fost țintele unui alt malware ce vizează operațiuni de online banking și are capabilități de blocare a ecranului dispozitivului, cod care a mimat, până la descoperirea lui, o aplicație flahlight pe Google Play. Spre deosebire de alte tipuri de troieni bancari cu un set static de aplicații bancare specifice vizate, acest troian este capabil să ajusteze dinamic funcționalitatea sa.

În afară de funcția de lanternă pentru smartphone, troianul controlat de la distanță vine cu o varietate de funcții suplimentare ce vizează furtul de date bancare. Pe baza comenzilor primite de la serverul de C & C, troianul afișează ecrane false ce pot mima aplicații legitime infectate, poate bloca temporar dispozitivul pentru a ascunde activitățile frauduloase derulate și poate intercepta SMS-uri și afișa notificări false, în scopul de a ocoli autentificarea cu doi factori.

Malware-ul poate afecta toate versiunile de Android. Din cauza naturii sale dinamice, nu există o limită pentru aplicațiile vizate – malware-ul obține codul HTML pe care sunt bazate aplicațiile instalate pe dispozitivul victimei și utilizează codul pentru a suprapune pe aplicațiile legitime ecrane false, după ce au fost lansate de utilizator.

Troianul, detectat de ESET ca Trojan.Android/Charger.B, a fost încărcat în Google Play pe 30 martie și a fost instalat de aproape 5000 de utilizatorii de aplicații Android, înainte de a fi scos din magazinul de aplicații pe baza notificării trimise de către ESET pe 10 aprilie.

Figura 1 – Troianul pe Google Play

Cum funcționează?

De îndată ce aplicația este instalată și lansată, acesta solicită drepturile de administrator ale dispozitivului. Utilizatorii cu Android 6.0 și versiunile mai noi trebuie, de asemenea, să permită manual drepurile de acces și dreptul de a desena peste alte aplicații. Având drepturile și permisiunile acordate, aplicația își ascunde pictograma, care apare pe dispozitiv doar ca un widget.

Sarcina utilă malițioasă este criptată în activele fișierului APK instalat de pe Google Play, ocolind astfel detectarea malware a funcționalității sale. Sarcina utilă este coborâtă, decriptată și executată atunci când victima va executa aplicația.

În primul pas, troianul înregistrează dispozitiv infectat pe serverul atacatorilor. În afară de trimiterea informațiilor despre dispozitiv și a unei liste cu aplicațiile instalate, malware-ul se apropie și mai personal în modalitatea de aboordare a victimelor sale – atașează, de asemenea, o imagine a proprietarului dispozitivului realizată cu camera frontală.

În cazul în care informațiile transmise indică faptul că dispozitivul se află în Rusia, Ucraina sau Belarus, serverul de C & C îi comandă malware-ului să-și oprească activitatea – cel mai probabil, pentru a evita urmărirea penală a atacatorilor în țările din care operează.

Bazându-se pe aplicațiile găsite instalate pe dispozitivul infectat, serverul de C & C trimite o activitate falsă sub forma unui cod HTML rău intenționat. Codul HTML este afișat în WebView după ce victima lansează una dintre aplicațiile vizate. Activitatea legitimă este apoi acoperită de un ecran fals care solicită detaliile cardului de credit ale victimei sau datele de autentificare în aplicația bancară.

Cu toate acestea, după cum s-a menționat anterior, precizarea aplicațiilor care se califică drept „vizate“ este dificilă, deoarece codul HTML solicitat variază în funcție de ce aplicații sunt instalate pe acel dispozitiv. În timpul cercetării noastre, am văzut ecrane false pentru Commbank, Nab și Westpac Mobile Banking, dar și pentru Facebook, WhatsApp, Instagram și Google Play.

Datele de conectare introduse în formularele false sunt trimise necriptat la serverul de C & C al atacatorilor.

În ceea ce privește blocarea dispozitivului, bănuim că această funcție intră în peisaj atunci când se extrag sume din conturile bancare compromise. Atacatorii pot bloca de la distanță dispozitivele cu un ecran de actualizare fals pentru a ascunde temporar activitățile frauduloase față de victime, precum și pentru a se asigura că acestea nu pot interveni în timpul transferului.

Figura 2 – Ecran fals ce imită aplicațiile găsite pe dispozitivul infectat

Figura 3 – Ecran fals de sistem folosit pentru a bloca dispozitivul infectat

Pentru a comunica cu serverul de C & C, troianul utilizază abuziv Firebase Cloud Messages (FCM), fiind prima data când observăm malware-ul Android folosind acest canal de comunicare.

Bazat pe cercetarea noastră, aplicația este o versiune modificată a Android / Charger, descoperită pentru prima dată de cercetătorii Check Point în ianuarie 2017. Spre deosebire de prima versiune care își extorca victimele în primul rând prin blocarea dispozitivelor și prin răscumpărările cerute, atacatorii din spatele codului malware Charger își încearcă acum norocul cu aplicații de tip phishing pentru a subtiliza datele bancare – fapt ce reprezintă o evoluție destul de rară în lumea malware-ului Android.

Cu ecranele sale false de conectare și cu funcțiile sale de blocare, Android/Charger.B se aseamănă cu malware-ul bancar descoperit și analizat în februarie. Ceea ce face această descoperire și mai periculoasă este faptul că ținta poate fi actualizată dinamic, spre deosebire de situațiile anterioare în care ținta era hardcoded în codul malware – deschizând opțiuni nelimitate pentru utilizări viitoare.

Dispozitivul meu a fost infectat? Cum îl curăț?

Dacă ați descărcat recent o aplicație Flash de pe Google Play, este recomandat să verificați dacă nu ați ajuns în mod accidental în contact cu acest troian.

Figura 4 – Aplicația malițioasă în managerul de aplicații

În timp ce localizarea aplicației este simplă, dezinstalarea acesteia este complicată. Troianul încearcă să împiedice acest lucru, nepermițând victimelor să oprească administratorul activ al dispozitivului – un pas necesar pentru eliminarea aplicației. Când încercați să dezactivați drepturile, ecranul pop-up nu va dispărea până nu vă răzgândiți și dați clic din nou pe “Activare”.

Într-un astfel de caz, aplicația poate fi dezinstalată prin bootarea dispozitivului în modul Safe, ceea ce vă va permite să parcurgeți următorii doi pași pentru a elimina aplicația rău intenționată.

Consultați videoclipul de mai jos pentru instrucțiuni:

Cum să rămâneți în siguranță

Pentru a evita tratarea consecințelor acestui malware-ului, prevenția este întotdeauna cheia corectă.

Ori de câte ori este posibil, optați pentru magazinele de aplicații oficiale atunci când descărcați aplicații. Deși nu este perfect, Google Play folosește mecanisme avansate de securitate pentru a ține la distanță malware-ul, ceea ce nu este cazul magazinelor alternative.

Când aveți dubii în legătură cu instalarea unei aplicații, verificați popularitatea acesteia prin numărul de instalări, prin evaluările și, cel mai important, prin conținutul recenziilor primite.

Acordați atenție permisiunilor și drepturilor pe care le solicită aplicațiile. Dacă o aplicație solicită permisiuni care nu par adecvate funcției sale – cum ar fi drepturi de administrator ale dispozitivului de către o aplicație Flash – este posibil să doriți să vă regândiți alegerea.

Nu în ultimul rând, utilizați o soluție mobilă de securitate, cu reputație, pentru a vă proteja dispozitivul de cele mai recente amenințări.

Proba analizată

Nume pachet Hash Detecție
com.flashscary.widget CA04233F2D896A59B718E19B13E3510017420A6D Android/Charger.B

 

LUKAS STEFANKO
CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *