Autorii de programe malware continuă să testeze vigilența utilizatorilor de Android prin infiltrarea unor troieni bancari în magazinul Google Play. Am analizat recent un set de 29 de astfel de troieni, găsiți în magazinul oficial Android din august până la începutul lunii octombrie 2018, mascați sub forma unor aplicații de tip booster pentru dispozitiv, instrumente de curățare, manager pentru baterie sau chiar aplicații de horoscop.
Spre deosebire de versiunile de aplicații rău intenționate tot mai răspândite, care încearcă să treacă drept instituții bancare legitime prin afișarea unor ferestre false de login, aceste aplicații aparțin unei categorii de malware mai sofisticate, cu funcționalități complexe și cu un focus mai mare pe a trece neobservate.
Acești troieni controlați de la distanță sunt capabili să targeteze în mod dinamic orice aplicații găsesc pe dispozitivul victimei, prin diferite forme de phishing. În plus, pot intercepta și redirecționa mesaje text pentru a sări peste autentificarea prin doi factori bazată pe SMS, pot intercepta jurnalele de apeluri, descărca și instala alte aplicații pe dispozitivul compromis. Aceste aplicații rău intenționate au fost încărcate sub numele a diverși developeri, dar asemănările de cod și un server C&C comun ar sugera că aplicațiile sunt opera unui singur atacator sau grup.
Figura 1 - Exemple de troieni bancari găsiți pe Google Play
Între timp, cele 29 de aplicații au fost eliminate din magazinul oficial Android, după ce ESET și alți cercetători au notificat Google despre natura lor periculoasă. Cu toate acestea, înainte de a fi retrase din magazin, aplicațiile au fost instalate de aproape 30.000 de utilizatori în total.
Cum funcționează aplicațiile?
Odată lansate, aplicațiile fie afișează o eroare cum că ar fi fost eliminate din cauza incompatibilității cu dispozitivul victimei, după care se ascund de ochii victimei, fie livrează funcțiile promise - cum ar fi afișarea horoscopului.
Figura 2 - Un mesaj de eroare fals, afișat de unul dintre aceste troieni la lansare
Indiferent de categoria de care aparține aplicația, funcționalitatea sa malițioasă este ascunsă într-un payload criptat, în fiecare dintre aceste aplicații. Acest payload este criptat prin base64, iar apoi criptat cu un cifru RC4 folosind o cheie hardcoded. Prima etapă a activității malware este un dropper care caută prezența unui emulator sau a unui sandbox. Dacă această etapă reușește, malware-ul decriptează și încarcă un loader și un payload care conțin malware-ul bancar real. Unele dintre aplicațiile analizate trecuseră prin cel puțin o etapă a acestor payload-uri criptate.
Figura 3 - Un mesaj de eroare fals afișat de unul dintre aceste troieni la lansare
Funcția payload-ului final este să se treacă drept aplicațiile bancare instalate pe dispozitivul victimei, să intercepteze și să trimită mesaje SMS, să descărce și să instaleze aplicații suplimentare alese de operatorii malware-ului. Cea mai importantă caracteristică este aceea că malware-ul poate imita dinamic orice aplicație instalată de pe un dispozitiv compromis. Acest lucru se realizează prin obținerea codului HTML al unei aplicații date și prin utilizarea acestuia pentru a afișa formularele false la lansarea aplicațiilor legitime, oferind victimei foarte puține șanse să observe că este ceva putred la mijloc.
Cum să rămâneți în siguranță
Din fericire, acești troieni bancari speciali (lista completă poate fi găsită în secțiunea IoCs) nu folosesc trucuri avansate pentru a asigura persistența lor pe dispozitivele afectate. Prin urmare, dacă bănuiți că ați instalat oricare dintre aceste aplicații, o puteți dezinstala în Setări>(General)> Manager aplicații/Aplicații.
De asemenea, vă sfătuim să vă verificați contul bancar pentru tranzacții suspecte și să luați în considerare schimbarea parolei dvs. de internet banking/cod PIN.
Pentru a evita să cădeți în capcana acestui malware bancar, vă recomandăm să:
- Descărcați aplicații doar din Google Play; acest lucru nu garantează că aplicația nu este rău intenționată, însă tipul acesta de malware este găsit mult mai frecvent în magazinele unor terțe părți, unde este rareori eliminat imediat după descoperire
- Asigurați-vă că verificați numărul de descărcări, evaluările aplicației și conținutul recenziilor înainte de a descărca aplicații de pe Google Play
- Acordați atenție permisiunilor pe care le acordați aplicațiilor pe care le instalați
- Păstrați dispozitivul Android actualizat și utilizați o soluție fiabilă de securitate mobilă; Produsele ESET detectează și blochează amenințări precum Android/TrojanDropper.Agent.CIQ.
Mulțumiri speciale lui Nikolaos Chrysaidos pentru că a adus în atenția noastră câteva dintre aceste aplicații rău intenționate.
Indicatori ai compromisului (IoC)
| App name | Package name | Hash | Installs |
|---|---|---|---|
| Power Manager | com.puredevlab.powermanager | 7C13ADEFC2CABD85AD8F486C3CBDB6379811A097 | 10+ |
| Astro Plus | com.astro.plus | 24D2ED751A33BD965A01FA87D7A187D14D0B0849 | 0+ |
| Master Cleaner - CPU Booster | bnb.massclean.boost | 101DA4333A26BC6D9DFEF6605E5D8D10206C0EB4 | 5,000+ |
| Master Clean - Power Booster | mc.boostpower.lf | E5DC8D4664167D61E5B4D83597965253A8B4CB3B | 100+ |
| Super Boost Cleaner | cpu.cleanpti.clo | 33D59A70363857A0CE6857D201B764EF3E8194DD | 500+ |
| Super Fast Cleaner | super.dupclean.com | E125AC53050CAFA5A930B210C8168EA9ED0FD6F1 | 500+ |
| Daily Horoscope For All Zodiac Signs | ui.astrohoro.t2018 | C3C45A7B3D3D2CB73A40C25BD4E83C9DA14F2DEA | 100 + |
| Daily Horoscope Free - Horoscope Compatibility | com.horochart.uk | CD5817AB3C2E4AE6A18F239BDD51E0CC9D7F6E25 | 500+ |
| Phone Booster - Clean Master | ghl.phoneboost.com | 9834B40401D76473D496E73884947D8A9F1920B3 | 1,000+ |
| Speed Cleaner - CPU Cooler | speeeed.cool.fh | 7626646C5C6D2C94B9D541BD5A0F320421903277 | 100+ |
| Ultra Phone Booster | ult.boostphone.pb | 6156081484663085B4FC5DEAEBF7DA079DD655C3 | 1,000+ |
| Free Daily Horoscope 2019 | fr.dayy.horos | 4E7F12F07D052E7D1EFD21CD323D8BAD9A79933B | 50+ |
| Free Daily Horoscope Plus - Astrology Online | com.dailyhoroscope.free | c0be22c44e5540322e0ffbf3a6fe18ce0968d3b5 | 1,000+ |
| Phone Power Booster | pwr.boost.pro | FCB8E568145AF2B6D8D29C0484417E51DD25717F | 1,000+ |
| Ultra Cleaner - Power Boost | ua.cleanpower.boost | CB37C8C44750874BA61F6F95E7A7C29073CB51DC | 50+ |
| Master Cleaner - CPU Booster | bnm.massclean.boost | 63E1C18D87F41ABF9956FC035D29D3C2890453EE | 5,000+ |
| Daily Horoscope - Astrological Forecast | gmd.horobest.ty | 90f41c64b3ab3f3b43e9d14b52f13143afb643da | 1,000+ |
| Speed Cleaner – CPU Cooler | speeeed.cool.gh | 56be07b21c9992a45c3b44b2e8a26b928e8238e2 | 0+ |
| Horoscope 2018 | com.horo2018i.up | c8dc0e94f38556cd83ca6a693fa5b6d7ae3957f7 | 1,000+ |
| Meu Horóscopo | my.horoscop.br | 92808ca526f8e655d8fa8716ab476be4041cd505 | 1,000+ |
| Master Clean - Power Booster | mc.boostpower.cf | ab88a93b0e919e5e07cf867f4165f78aa77dc403 | 50+ |
| Boost Your Phone | boost.your.phone | 5577c9131f026d549a38e3ce48c04a323475927e | 1,000+ |
| Phone Cleaner - Booster, Optimizer | phone.boost.glh | 988AB351549FEB2C1C664A29B021E98E3695A18A | 1,000+ |
| Clean Master Pro Booster 2018 | pro.cleanermaster.iz | b9d32241d169dfd4ca5674dffa357796b200bc2f | 10+ |
| Clean Master - Booster Pro | bl.masterbooster.pro | bcb9ef41fea8878eb10f4189dd55bfe1d03a64b3 | 5,000+ |
| BoostFX. Android cleaner | fx.acleaner.e2018 | 99bff493d201d42534eec9996fd0819a | 50+ |
| Daily Horoscope | day.horocom.ww | 971a0cf208f99c259966b20aa10380c1 | 1,000+ |
| Daily Horoscope | com.dayhoroscope.en | 25e95b32832a491108835b382c4f14aa | 1,000+ |
| Personal Horoscope | horo.glue.zodnow | 0dcaf426bbc3b484aa4004f5c8e48a19 | 1,000+ |
Lasa un comentariu