Περισσότεροι από 300.000 χρήστες smartphone Android έχουν κατεβάσει apps που αποδείχθηκε ότι ήταν banking trojans. Αυτά τα είδη malware που βρίσκονται μέσα στα apps έχουν παρακάμψει τον εντοπισμό από το κατάστημα εφαρμογών Google Play.
Δείτε επίσης: Η APT37 στοχεύει Νοτιοκορεάτες δημοσιογράφους με το malware Chinotto
Αναλυτικά οι ερευνητές της ThreatFabric λένε ότι οι τέσσερις διαφορετικές μορφές malware παραδίδονται στα θύματα μέσω κακόβουλων εκδόσεων downloaded εφαρμογών, όπως σαρωτές εγγράφων, προγράμματα ανάγνωσης κωδικών QR, fitness monitors και εφαρμογές crypto. Οι εφαρμογές συχνά συνοδεύονται από τις λειτουργίες που διαφημίζονται για να μην υποψιαστούν το οτιδήποτε οι χρήστες.
Σε κάθε περίπτωση, η κακόβουλη πρόθεση της εφαρμογής είναι κρυμμένη και η διαδικασία παράδοσης του malware ξεκινά μόνο αφού εγκατασταθεί η εφαρμογή, επιτρέποντάς τους να παρακάμψουν τους εντοπισμούς του Play Store.
Η πιο παραγωγική από τις τέσσερις οικογένειες malware είναι το Anatsa, το οποίο έχει εγκατασταθεί από περισσότερους από 200.000 χρήστες Android – οι ερευνητές το περιγράφουν ως ένα «προηγμένο» banking trojan που μπορεί να κλέψει ονόματα χρηστών και κωδικούς πρόσβασης και χρησιμοποιεί accessibility logging για να καταγράψει όλα όσα εμφανίζονται στην οθόνη του χρήστη, ενώ ένα keylogger επιτρέπει στους εισβολείς να καταγράφουν όλες τις πληροφορίες που εισάγονται στο τηλέφωνο.
Το malware Anasta είναι ενεργό από τον Ιανουάριο, αλλά φαίνεται να έχει λάβει σημαντική ώθηση από τον Ιούνιο – οι ερευνητές κατάφεραν να εντοπίσουν έξι διαφορετικές κακόβουλες εφαρμογές που είχαν σχεδιαστεί για την παράδοση του κακόβουλου λογισμικού. Αυτές περιλαμβάνουν εφαρμογές που παρουσιάζονται ως σαρωτές κώδικα QR, σαρωτές PDF και εφαρμογές κρυπτονομισμάτων.
Δείτε επίσης: 100 εκατ. “pieces of malware” κατασκευάστηκαν για Windows το 2021
Μία από αυτές τις εφαρμογές είναι ένας σαρωτής κώδικα QR που έχει εγκατασταθεί από 50.000 χρήστες και η σελίδα λήψης διαθέτει μεγάλο αριθμό θετικών κριτικών, κάτι που μπορεί να ενθαρρύνει τους χρήστες να κατεβάσουν την εφαρμογή. Οι χρήστες κατευθύνονται στις εφαρμογές μέσω phishing emails ή κακόβουλων διαφημιστικών καμπανιών.
Μετά την αρχική λήψη, οι χρήστες αναγκάζονται να ενημερώσουν την εφαρμογή για να συνεχίσουν να τη χρησιμοποιούν – αυτή η ενημέρωση συνδέεται με έναν command and control server και κατεβάζει το payload Anatsa στη συσκευή, παρέχοντας στους εισβολείς τα μέσα για να κλέψουν τραπεζικά στοιχεία και άλλες πληροφορίες.
Η δεύτερη πιο παραγωγική από τις οικογένειες κακόβουλου λογισμικού που αναφέρθηκαν από τους ερευνητές της ThreatFabric είναι το Alien, ένα Android banking trojan που μπορεί να κλέψει δυνατότητες ελέγχου ταυτότητας δύο παραγόντων και είναι ενεργό για περισσότερο από ένα χρόνο. Το malware έχει λάβει 95.000 installations μέσω κακόβουλων εφαρμογών στο Play Store.
Ένα από αυτά είναι μια εφαρμογή γυμναστικής η οποία συνοδεύεται από έναν υποστηρικτικό ιστότοπο που έχει σχεδιαστεί για να ενισχύσει τη νομιμότητα. Ο ιστότοπος χρησιμεύει και ως κέντρο εντολών και ελέγχου για το malware Alien.
Δείτε επίσης: Καμπάνια Discord malware στοχεύει κοινότητες crypto και NFT
Όπως και το Anasta, η αρχική λήψη δεν περιέχει κακόβουλο λογισμικό, αλλά ζητείται από τους χρήστες να εγκαταστήσουν μια ψεύτικη ενημέρωση η οποία διανέμει το payload.
Οι άλλες δύο μορφές malware που έχουν γίνει drop χρησιμοποιώντας παρόμοιες μεθόδους τους τελευταίους μήνες είναι το Hydra και το Ermac, που έχουν συνολικά τουλάχιστον 15.000 λήψεις. Η ThreatFabric έχει συνδέσει το Hydra και το Ermac με την Brunhilda, μια ομάδα που είναι γνωστό ότι στοχεύει συσκευές Android με banking malware. Τόσο το Hydra όσο και το Ermac παρέχουν στους εισβολείς πρόσβαση στη συσκευή που απαιτείται για την κλοπή τραπεζικών πληροφοριών.
Η ThreatFabric έχει αναφέρει όλες τις κακόβουλες εφαρμογές στην Google και είτε έχουν ήδη καταργηθεί είτε βρίσκονται υπό έλεγχο. Οι χάκερ θα προσπαθούν συνεχώς να βρίσκουν τρόπους να παρακάμπτουν τις προστασίες για την παροχή mobile malware, το οποίο γίνεται όλο και πιο ελκυστικό για τους εγκληματίες του κυβερνοχώρου.
Πηγή πληροφοριών: zdnet.com
