ΑρχικήsecurityGoogle Play: Κρυβόταν malware με τη χρήση των αισθητήρων κίνησης

Google Play: Κρυβόταν malware με τη χρήση των αισθητήρων κίνησης

Στην αγορά του Google Play υπάρχουν πολλές κακόβουλες εφαρμογές που δοκιμάζουν κόλπα για να αποφευχθεί η ανίχνευση τους. Για την ακρίβεια, χρησιμοποιούν την εισαγωγή κίνησης του αισθητήρα σε μία μολυσμένη συσκευή προτού γίνει η εγκατάσταση ενός δυνατού banking trojan για να επιβεβαιωθεί πως δεν φορτώνει σε emulators, τα οποία χρησιμοποιούν οι ερευνητές για να εντοπίσουν τις επιθέσεις.

Google

Το σκεπτικό πίσω από όλο αυτό είναι πως οι αισθητήρες είναι πραγματικές end-user συσκευές  που θα καταγράψουν την κίνηση την ώρα που χρησιμοποιούνται. Αντίθετα, τα emulators που χρησιμοποιούνται από ερευνητές ασφαλείας και πιθανώς από τους υπάλληλους της Google, δεν χρησιμοποιούν αισθητήρες. Πρόσφατα, από το Google Play ανακαλύφθηκαν δύο εφαρμογές με Anubis banking malware σε μολυσμένες συσκευές, το οποίο θα ενεργοποιούσε μόνο το payload κάθε φορά που ανιχνευόταν η κίνηση. Διαφορετικά, θα κυριαρχούσε το trojan.

Επίσης, μία εταιρεία που εστιάζει σε θέματα ασφάλειας, εντόπισε πως χρησιμοποιείται dropper γα την ενεργοποίηση κίνησης σε δύο εφαρμογές. Η πρώτη ήταν το BatterySaverMobi που είχε 5.000 λήψεις και η δεύτερη ήταν το Currency Converter που είχε έναν άγνωστο αριθμό από λήψεις. Βέβαια, μόλις μαθεύτηκε από την Google πως υπήρχε malware, απομακρύνθηκαν άμεσα.

Οι συγκεκριμένες κακόβουλες εφαρμογές δεν χρησιμοποιούν μόνο την ανίχνευση κίνησης για την απόκρυψή τους αλλά και άλλους τρόπους.

Για παράδειγμα, μία από τις εφαρμογές που εγκατέστησε το Anubis σε μία συσκευή, το dropper της χρησιμοποιούσε αιτήματα και απαντήσεις μέσω του Twitter και του Telegram για να τοποθετήσει την εντολή και να ελέγξει τον διακομιστή. Στη συνέχεια, έκανε εγγραφή με το C&C server και έκανε έλεγχο για εντολές με ένα αίτημα HTTP POST. Αν ο διακομιστής απαντούσε στην εφαρμογή με μία εντολή APK και κολλούσε το URL, τότε το Anubis payload θα μετακινούνταν στο background. Στη συνέχεια το dropper θα προσπαθούσε να εξαπατήσει τους χρήστες ώστε να εγκαταστήσουν την εφαρμογή, χρησιμοποιώντας τη ψεύτικη αναβάθμιση συστήματος όπως φαίνεται παρακάτω.

Από τη στιγμή που γινόταν εγκατάσταση του Anubis, αυτό χρησιμοποιούσε ένα built-in keylogger που μπορούσε να κλέψει τα credentials του λογαριασμού του χρήστη. Επίσης, το malware μπορούσε να αποκτήσει πρόσβαση σε credentials με την λήψη στιγμιότυπων της οθόνης του μολυσμένου χρήστη.

Πιο συγκεκριμένα, τα δεδομένα έδειξαν πως η τελευταία εκδοχή του Anubis είχε μοιραστεί σε 93 διαφορετικές χώρες και είχε ως στόχο χρήστες που χρησιμοποιούσαν οικονομικές εφαρμογές, προκειμένου οι attackers να εκμεταλλευθούν τις οικονομικές πληροφορίες προς όφελός τους. Αν το Anubis πετύχει, τότε ο hacker αποκτά πρόσβαση στις λίστες επαφών όπως και στην τοποθεσία. Επίσης, μπορεί να αποκτήσει πρόσβαση και να καταγράψει ήχο, να στείλει μηνύματα και να κάνει κλήσεις.

Λαμβάνοντας όλα αυτά υπόψη, καταλήγουμε στο ότι δυστυχώς οι attackers βελτιώνουν την ποιότητα των κακόβουλων Android εφαρμογών όλο και περισσότερο. Δεύτερον, οι Android χρήστες πρέπει να σκέφτονται πιο προσεκτικά πριν κατεβάσουν εφαρμογές από το Google Play και να είναι ενήμεροι για τις κακόβουλες δραστηριότητες που παρατηρούνται. Αυτό που προτείνουμε για τους Android users είναι να είναι πάντα προσεκτικοί και να προτιμούν εφαρμογές από αναγνωρισμένους developers.

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS