Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Monedă de schimb reală sau virtuală? Escrocii acceptă ambele variante

2017-04-14

Doriți să adăugați trafic pe canalul dvs. YouTube și poate chiar să fiți plătit pentru vizionarea clipurilor video de pe YouTube? Sau căutați să cumpărați sau să vindeți Bitcoin „din confortul telefonului“?

Autorii aplicațiilor „ Boost Views“ și „PaxVendor“ vor să credeți că au exact ceea ce aveți nevoie. Nu numai că acest lucru este fals, ci aceștia doresc, de asemenea, banii dvs. – indiferent sub ce formă pot pune mâna pe ei.

Boost Views – Monetizarea vizualizărilor Youtube

Sub forma unor servicii atractive relaționate cu YouTube, aplicația ce fură datele de autentificare de la PayPal, “Boost Views” a ajuns pe dispozitivele a aproximativ 100.000 de utilizatori.

Aplicația, detectată de ESET ca Trojan.Android/FakeApp.FK, promite să genereze venituri pentru vizionarea conținutului din aplicația YouTube, precum și să crescă traficul pe YouTube în schimbul achiziționării de credite. Conform descrierii aplicației, utilizatorii pot retrage câștigurile acumulate în mod convenabil în contul PayPal.

Cu toate acestea, în cazul în care utilizatorii încearcă să facă acest lucru prin introducerea datelor personale PayPal într-un formular de „autentificare“, vor afla repede că au devenit victime ale unei înșelătorii și că nu există niciun câștig. Chiar mai rău, credențialele PayPal sunt acum la dispoziția atacatorilor, lăsând o poartă deschisă în fața abuzului.

Figura 1 – Boost Views în magazinul Google Play

Figura 2 – Recenzii negative Boost Views ce implică activitate fraudulentă

Cum operează?

După lansarea aplicației, utilizatorii sunt rugați să creeze un cont Boost Views. După autentificare, utilizatorii pot alege unul dintre serviciile aparent oferite de aplicație.

For viewing YouTube videos for money – one of the major features advertised by the app – there’s “Viewer”, an in-app video player. Users can view content for $0,0001-0,0005 per minute (as seen during our research), with the current earned sum shown under the video content.

Pentru vizionarea de videoclipuri YouTube în vederea obținerii de venituri – una dintre cele mai importante caracteristici promovate de aplicație – există „Viewer“, un player video integrat în aplicație. Utilizatorii pot vizualiza conținutul pentru o sumă cuprinsă între 0,0001-0,0005 de dolari pe minut (așa cum se poate vedea în cadrul cercetării noastre).

Figura 3 – viewer video încorporat YouTube cu numărătoare pentru banii obținuți

După ce am generat 0.09 de dolari în 16 ore de redare video automată și fără nici o mențiune a unui prag minim de plată, s-a încercat retragei sumei câștigate.

Pentru a retrage bani, datele de conectare PayPal trebuie să fie mai întâi introduse într-un formular de conectare nesecurizat pentru „autentificare“. Odată ce victimele introduc datele de autentificare, acestea se confruntă cu un mesaj de eroare unde este specificată o „autentificare invalidă“, iar credențialele PayPal sunt trimise necriptate la serverul dezvoltatorului.

Având contul PayPal compromis, soldul PayPal și / sau al cardului de credit al victimelor poate fi folosit în mod abuziv. La momentul scrierii acestui articol, PayPal nu a raportat nicio activitate suspectă în contul utilizat pentru testarea funcțiilor aplicației malițioase. Cu toate acestea, este bine de știut că datele dvs. pot fi la dispoziția altcuiva.

Figura 4 –Formular de autentificare nesecurizat, unde se solicită datele de autentificare PayPal

Figura 5 – Mesaj de eroare pentru conectare invalidă afișat după introducerea datelor de conectare PayPal

În cazul în care utilizatorii doresc să achiziționeze credite în schimbul vizualizărilor pe YouTube, acestora li se oferă pachete de credit găsite în magazinul aplicației. În timp ce acest lucru ar putea fi o modalitate logică de a utiliza vizualizările generate în Viewer-ul aplicației (și ar putea fi o funcționalitate reală), a fost identificat un comportament înșelător al aplicației, ce reprezintă un motiv suficient pentru a nu oferi bani – și, eventual, detaliile cardului de credit – acestui dezvoltator.

Figura 6 – Magazin încorporat în aplicație unde se oferă pachete de credit

În mod interesant, pachetele de credit sunt, de asemenea, oferite pe site-ul web al dezvoltatorului, cu diferite hyperlink-uri de stabilire a prețurilor și invalide, ce trimit înapoi la pagina principală. Site-ul ca atare pare a fi un șablon generic cu buzzword-uri de marketing, mai degrabă decât să aibă un conținut real, care se adaugă numai la shadiness-ul aplicației observant până în prezent.

Figura 7 – pachete de credit cu link-uri invalide pe site-ul web al dezvoltatorului

PaxVendor

În timp ce Boost Views urmărește să se infiltreze în contul PayPal, „PaxVendor“ ar dori să aibă acces la Bitcoin. Aplicația rău intenționată, detectată de către ESET ca Android/FakeApp.FI, parazitează pe piața legitimă de tranzacționare Bitcoin Paxful, care operează în prezent numai pe desktop.

PaxVendor folosește un ecran de conectare fals pentru a colecta datele de autentificare Paxful și nu oferă victimelor sale o funcționalitate reală. În numai o săptămână, aplicația a ajuns la aproximativ 500 de instalări, înainte de a fi scos din magazine în urma notificării noastre. În afară de raportarea aplicației către echipa de securitate de la Google Play, de asemenea, Paxful a fost contactat pentru a avertiza utilizatorii cu privire la acest fals malițios.

Figura 8 – PaxVendor în magazinul Google Play

Cum operează?

După lansare, aplicația instruiește utilizatorii să dezactiveze autorizarea Google sau autorizația prin SMS în contul lor Paxful, pentru a evita potențialele obstacole reprezentate de autentificare prin 2 factori.

Ecranul fals de conectare solicită date de conectare la Paxful. Atunci când acestea sunt introduse, utilizatorului i se afișează un ecran de eroare, unde se transmite că aplicația nu se poate conecta la contul respectiv.

Între timp, acreditările sunt trimise la serverul atacatorilor. Odată ce atacatorii au făcut rost de datele de autentificare, le folosesc pentru a intra în conturile Paxful ale utilizatorilor. În cazul nostru, cineva s-a autentificat din Ucraina, la scurt timp după ce datele au fost introduse.

Figura 9 – Ecran fals de autentificare unde se colectează date de autentificare Paxful

Figura 10 – Credențiale furate utilizate pentru autentificarea în contul Paxful al utilizatorilor

Cum să vă protejați?

Dacă ați descărcat Boost Views și ați încercat să retrageți bani prin PayPal, vă recomandăm insistent să schimbați parola de la contul PayPal imediat. Între timp, verificați contul, dacă au existat activități suspecte și raportați potențialele probleme la PayPal. Ați putea dori, de asemenea, să dezinstalați aplicația malware, pe care o puteți găsi în Setări> Manager aplicații /Aplicații> Boost Views.

În ceea ce privește PaxVendor, schimbați parola Paxful și examinați activitatea din cont și raportați orice vi se pare neobișnuit. Continuați cu dezinstalarea aplicației false, accesând Setări>Manager aplicații/ Aplicații>PaxVendor.

Pentru a evita situațiile în care puteți deveni victima malware-ului Android, există o serie de principii de urmat atunci când instalați aplicații pe dispozitivul dvs.:

Ori de câte ori este posibil, alegeți descărcarea de aplicații din magazinele oficiale de aplicații în defavoarea surselor necunoscute. Deși nu este fără cusur, Google Play utilizează mecanisme de securitate avansate pentru a păstra malware-ul la distanță, lucru care nu este valabil în cazul magazinelor alternative.

Trebuie să aveți grijă în mod suplimentar la descărcarea de aplicații terțe care oferă funcții suplimentare pentru aplicațiile existente, deoarece poate exista o „schemă“ în aceste oferte aparent atractive. Ținând cont de acest fapt, evitați introducerea datelor sensibile în formulare de conectare neautentificate de aplicații terțe.

Pentru a verifica dacă o aplicație poate fi de încredere, verificați popularitatea aplicației în funcție de numărul de instalări, de evaluări și, cel mai important, de comentarii. Dacă aveți îndoieli, optați pentru aplicații de înaltă calitate, marcate ca “Dezvoltator de Top” sau găsite în categoria “Alegerea Editorului”.

Nu în ultimul rând, utilizați o soluție mobilă de securitate de renume pentru a proteja dispozitivul împotriva celor mai recente amenințări.



Leave a Reply

Your email address will not be published. Required fields are marked *