Η Google διέγραψε 53 εφαρμογές από το Play Store της επειδή περιείχαν ένα νέο κακόβουλο λογισμικό με όνομα GhostTeam. Το συγκεκριμένο έχει την δυνατότητα να υποκλέπτει τα διαπιστευτήρια του Facebook σας και να προωθεί κακόβουλες διαφημίσεις στο smartphone σας.
Ανακαλύφθηκε από τις ομάδες ασφάλειας της Avast και Trend Micro, οι οποίες ανέφεραν ότι το συγκεκριμένο malware ήταν ενεργό στο Play Store από τον Απρίλιο του 2017, αλλά μόλις πρόσφατα ανακαλύφθηκε και αναφέρθηκε στην ομάδα της Google.
Το GhostTeam χρησιμοποιεί τις πιο πρόσφατες τεχνικές μετάδοσης malware. Στην αρχή οι χρήστες εγκαθιστούν μια “καθαρή” εφαρμογή με νόμιμες λειτουργίες. Η συγκεκριμένου τύπου είναι γνωστή και ως “dropper”, η οποία κάποια στιγμή θα επικοινωνήσει με ένα απομακρυσμένο διακομιστή από όπου θα κατεβάσει και θα εγκαταστήσει δευτερεύουσες εφαρμογές που περιέχουν το πραγματικό κακόβουλο λογισμικό GhostTeam. Αμέσως μετά προσπαθεί να μετατραπεί σε εφαρμογή συστήματος. Οι επιτιθέμενοι χρησιμοποιούν ψεύτικες ειδοποιήσεις ασφαλείας που εμφανίζονται μέσω της αρχικής εφαρμογής για να εξαπατήσουν τους χρήστες και να εγκαταστήσουν μια δεύτερη εφαρμογή προκειμένου να αποκτήσουν δικαιώματα διαχειριστή. Μόλις η δεύτερη εφαρμογή αποκτήσει δικαιώματα διαχειριστή, το GhostTeam θα ξεκινήσει να εμφανίζει ενοχλητικές διαφημίσεις στο τηλέφωνο.
Ως δευτερεύουσα λειτουργία έχει την υποκλοπή διαπιστευτηρίων του Facebook. Η μέθοδος που χρησιμοποιεί είναι πρωτότυπη, αφού δεν χρησιμοποιεί κάποια ψεύτικη σελίδα σύνδεσης που πατάει πάνω στην εφαρμογή του Facebook, αλλά κλέβει τα δεδομένα από την ίδια την εφαρμογή που έχετε εγκαταστήσει στο κινητό σας. Η εφαρμογή που έχει μολυνθεί από το GhostTeam εμφανίζει την πραγματική σελίδα σύνδεσης στο Facebook αλλά φορτώνει επίσης ένα κακόβουλο κώδικα JavaScript που συλλέγει τα διαπιστευτήρια. Αυτά τα δεδομένα αποστέλλονται αργότερα σε έναν απομακρυσμένο διακομιστή κάτω από τον έλεγχο των εισβολέων. Επειδή οι διαδικασίες αυτές πραγματοποιούνται στην νόμιμη εφαρμογή του Android, τα προϊόντα ασφάλειας για κινητά δεν μπορούν να τις ανιχνεύσουν.
Παρακάτω μπορείτε να δείτε τις εφαρμογές που περιείχαν το GhostTeam.
https://documents.trendmicro.com/assets/appendix-ghostteam-adware-can-steal-facebook-credentials.pdf
