Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

O zi însorită dar cu șanse de a vă fi furate datele de autentificare: Aplicație malware pentru vreme găsită pe Google Play

2017-02-28

Utilizatorii Android au fost ținta unui nou malware bancar care are capacitatea de a bloca ecranul, acesta fiind deghizat într-o aplicație de prognoza meteo pe Google Play.

Detectat de ESET ca Trojan.Android/Spy.Banker.HU, malware-ul a fost o versiune transformată în troian a unei aplicații de prognoză meteo care era legitimă.

Aplicația rău intenționată a reușit să ocolească mecanismele de securitate Google și a apărut în magazinul de aplicații pe 4 februarie, dar a fost raportată de către ESET două zile mai târziu și, în consecință, a fost scoasă din magazin. În timpul vieții sale scurte, aplicația și-a făcut drum spre dispozitivele a aproape 5000 de utilizatori.

Pe lângă funcționalitățile de prognoză meteo pe care le-a adoptat de la aplicația legitimă inițială, troianul este capabil să blocheze și să deblocheze dispozitivele infectate de la distanță și să intercepteze mesajele text. În afară de acest lucru, troianul a vizat utilizatorii a 22 de aplicații turcești bancare mobile, ale căror acreditări au fost subtilizate utilizând formulare de logare false.

Figura 1: Aplicația pe Google Play

Figura 2: Descrierea aplicației rău intenționate așa cum se găsește pe Google Play

Cum acționează?

După ce aplicația este instalată de un utilizator care neatent, pictograma sa meteo dispare. Dispozitivul infectat afișează apoi pe ecran o alarmă falsă care solicită drepturile de administrator ale dispozitivului, sub numele fictiv “Actualizarea sistemului”. Prin activarea acestor drepturi, victima permite malware-ului să schimbe parola de deblocare a ecranului și blocheze ecranul.

Figura 3: verde – pictograma legitimă Good Weather, roșu – versiune rău intenționată

Figura 4: “Actualizarea de sistem” falsă, cere drepturi de administrator pentru dispozitiv

Împreună cu permisiunea de a intercepta mesajele text obținute în timpul instalării, troianul este acum complet configurat să înceapă activitatea rău intenționată.

Utilizatorii care nu sunt alarmați în acest moment s-ar putea să fie mulțumiți de noul widget-ul pentru vreme pe care l-au adăugat pe dispozitivele lor. Cu toate acestea, în fundal, malware-ul lucrează pentru a obține informații despre dispozitiv, distribuindu-le serverului său C & C.

În funcție de comanda care vine înapoi, aplicația poate intercepta mesajele text primite și le trimite la server, blocând și deblocând dispozitivul de la distanță prin setarea unei parole de blocare a ecranului la alegerea atacatorilor sau subtilizând datele bancare.

Troianului afișează un ecran de conectare fals odată ce utilizatorul execută una dintre aplicațiile bancare vizate și transmite datele introduse la atacator. Grație permisiunii de a intercepta mesajele text ale victimelor, malware-ul este, de asemenea, capabil de a trece de autentificarea cu doi factori, bazată pe SMS-uri.

În ceea ce privește blocarea dispozitivului, suspectăm că această funcție intră în peisaj atunci când se extrag sume din contul bancar compromis, pentru a menține activitatea frauduloasă ascunsă de utilizator. Odată blocat, tot ceea ce pot face victimele este să aștepte până când malware-ul primește o comandă pentru deblocarea dispozitivului.

A fost infectat dispozitivul meu? Cum pot să-l curăț?

Dacă v-ați instalat recent o aplicație pentru vreme din Play Store, ar fi bine să verificați dacă nu ați fost una dintre victimele acestui troian bancar.

În cazul în care credeți că ați fi putut descărca o aplicație numită Good Weather, verificați pictograma sa în lista de aplicații. Vedeți pictograma galbenă din Fig. 3? Aplicația este legitimă. Nu puteți găsi nicio pictogramă, iar aplicația funcționează doar ca un widget? Căutați în continuare în Settings -> Application Manger. Dacă găsiți aplicația cu pictograma sa albastră în Application Manager, așa cum este descris mai jos, ați descărcat o copie malițioasă a Good Weather.

Pentru a curăța aparatul vă puteți îndrepta spre o soluție de securitate pentru mobile, cum ar fi ESET Mobile Security, sau puteți elimina manual malware-ul.

Pentru a dezinstala manual troianul, mai întâi este necesar să dezactivați drepturile de administrare la nivelul dispozitivului din Settings -> Security -> System update. După ce faceți acest pas, puteți dezinstala aplicația rău intenționat accesând Settings -> Application Manger -> Good Weather.

Figura 5: Malware deghizat ca o actualizare de sistem având drepturile de administrator activate

Figura 6: Troianul în Application Manager

Cum rămâneți în siguranță

Având în vedere că versiunea transformată în troian a aplicației a fost deja scoasă din magazin, puteți descărca în siguranță Good Weather, versiunea originală fiind livrată către Google Play de către dezvoltatorul AsdTm.

Cu toate acestea, imitațiile aplicațiilor legitime continuă să se infiltreze în Play Store, astfel că este bine să țineți mereu cont de câteva principii de bază pentru a vă păstra la distanță de infractorii cibernetici.

Deși nu este lipsit de probleme, Google Play utilizează mecanisme avansate de securitate pentru a ține la distanță secvențele malware. Acest lucru nu se aplică în cazul magazinelor de aplicații alternative sau din surse necunoscute, așadar, optați pentru magazinul oficial Google Play ori de câte ori este posibil.

În timp ce descărcați din Play Store, asigurați-vă că știți permisiunile solicitate de aplicație înainte de instalare sau actualizare. În loc să accepte în mod automat permisiunile pe care o aplicație le solicită, depuneți puțin efort și citiți ce presupun acele drepturi cerute la nivelul dispozitivului. În cazul în care ceva pare ciudat, citiți ce au scris alți utilizatori în comentarii și regândiți descărcarea.

După ce rulați orice aplicație instalată pe dispozitivul mobil, continuați să acordați atenție drepturilor și permisiunilor care sunt solicitate. O aplicație care nu va rula fără permisiuni avansate, care nu par legate de funcția vizată ar putea fi o aplicație pe care nu doriți să o instalați pe telefon.

Nu în ultimul rând, chiar dacă toate celelalte variante eșuează, o soluție de securitate cu reputație, gândită pentru dispozitivele mobile, va proteja dispozitivul de amenințările active.

Dacă doriți să aflați mai multe despre malware bazat pe Android, urmăriți cele mai recente cercetări ale noastre cu privire la acest subiect.

Analiza indicatorilor de compromis (IoCs) aferenți mostrei

Package Name Hash Detection
goodish.weather A69C9BAD3DB04D106D92FD82EF4503EA012D0DA9 Android/Spy.Banker.HU

Aplicațiile vizate

com.garanti.cepsubesi
com.garanti.cepbank
com.pozitron.iscep
com.softtech.isbankasi
com.teb
com.akbank.android.apps.akbank_direkt
com.akbank.softotp
com.akbank.android.apps.akbank_direkt_tablet
com.ykb.androidtablet
com.ykb.android.mobilonay
com.finansbank.mobile.cepsube
finansbank.enpara
com.tmobtech.halkbank
biz.mobinex.android.apps.cep_sifrematik
com.vakifbank.mobile
com.ingbanktr.ingmobil
com.tmob.denizbank
tr.com.sekerbilisim.mbank
com.ziraat.ziraatmobil
com.intertech.mobilemoneytransfer.activity
com.kuveytturk.mobil
com.magiclick.odeabank

 

LUKAS STEFANKO
CORESPONDENT INDEPENDENT



Leave a Reply

Your email address will not be published. Required fields are marked *