Κακόβουλες εφαρμογές Android που παρίσταναν τους διαχειριστές αρχείων (file managers) είχαν διεισδύσει στο Google Play Store, μολύνοντας τους χρήστες με το banking malware Sharkbot.
Οι εφαρμογές δεν περιείχαν το κακόβουλο payload κατά την εγκατάστασή τους, γεγονός που τις βοηθούσε να αποφεύγουν την ανίχνευση όταν υποβάλλονταν στο Google Play. Αντ’ αυτού, το αντλούσαν αργότερα από έναν απομακρυσμένο πόρο.
Οι εφαρμογές λειτουργούσαν ως διαχειριστές αρχείων, οπότε όταν ζητούσαν επικίνδυνα δικαιώματα για να φορτώσουν το Sharkbot malware, οι χρήστες δεν αντιλαμβάνονταν ότι συμβαίνει κάτι περίεργο.
Δείτε επίσης: Donut: Η συμμορία εκβιαστών έχει τώρα το δικό της ransomware
Fake file managers μολύνουν Android συσκευές με το Sharkbot malware
Το Sharkbot malware είναι ιδιαίτερα επικίνδυνο επειδή προσπαθεί να κλέψει online τραπεζικούς, μιμούμενο πραγματικές φόρμες σύνδεσης τραπεζικών εφαρμογών. Έτσι, εάν ένας ανυποψίαστος χρήστης επιχειρήσει να συνδεθεί στην τράπεζά του μέσω μιας από αυτές τις ψεύτικες φόρμες, τα credentials του μεταφέρονται στους εγκληματίες του κυβερνοχώρου.
Το κακόβουλο λογισμικό προσαρμόζεται συνεχώς και μπορεί να εμφανιστεί σε διάφορες μορφές στο Play Store ή να μεταφορτωθεί από κακόβουλες εφαρμογές.
Οι κακόβουλες εφαρμογές που εμφανίζονται σαν file managers ανακαλύφθηκαν από αναλυτές της Bitdefender. Μετά την αποκάλυψή τους, η Google τις αφαίρεσε από το Play Store.
Οι χρήστες που τις είχαν κατεβάσει ήδη στην Android συσκευή τους βρίσκονται ακόμα σε κίνδυνο.
Η πρώτη εφαρμογή που εμφανίζει σημάδια κακόβουλης δραστηριότητας είναι η ‘X-File Manager‘ της Victor Soft Ice LLC (com.victorsoftice.llc). Είχε κατέβει 10.000 φορές από το Google Play πριν η εταιρεία την αφαιρέσει.
Η εφαρμογή είναι σχεδιασμένη ώστε να αποφεύγει τον εντοπισμό, και το Sharkbot malware επηρεάζει μόνο SIM της Μεγάλης Βρετανίας ή της Ιταλίας – αυτό υποδηλώνει ότι η εφαρμογή αποτελεί μέρος μιας στοχευμένης επίθεσης.
Ο κατάλογος των τραπεζικών εφαρμογών για κινητά που στοχεύει το κακόβουλο λογισμικό είναι μεγάλος. Ωστόσο, όπως σημειώνει η Bitdefender, οι φορείς απειλών μπορούν να ενημερώσουν αυτή τη λίστα από απόσταση ανά πάσα στιγμή.
Δείτε επίσης: Google: Δημοσίευσε 165 YARA rules για τον εντοπισμό επιθέσεων Cobalt Strike
Σύμφωνα με τα δεδομένα της Bitdefender, τα περισσότερα θύματα της νέας malware εκστρατείας Sharkbot βρίσκονται στο Ηνωμένο Βασίλειο, την Ιταλία, το Ιράν και τη Γερμανία.
Η παραπάνω εφαρμογή ζητά από τον χρήστη να παραχωρήσει δικαιώματα που θα μπορούσαν να είναι επιβλαβή, όπως ανάγνωση και εγγραφή εξωτερικού αποθηκευτικού χώρου, εγκατάσταση νέων packages, πρόσβαση σε στοιχεία λογαριασμού, διαγραφή packages(για να σβηστούν τα ίχνη) κ.λπ.
Παρόλο που αυτά τα δικαιώματα φαίνονται συνηθισμένα για εφαρμογές διαχείρισης αρχείων, οι χρήστες θα πρέπει να είναι προσεκτικοί.
Το X-File Manager ζητά από τον χρήστη να εγκρίνει το Sharkbot malware πριν από την εγκατάσταση, το οποίο είναι μεταμφιεσμένο ως ψεύτικη ενημέρωση προγράμματος.
Η δεύτερη εφαρμογή που εγκαθιστά το banking trojan είναι η ‘FileVoyager‘ της Julia Soft Io LLC (com.potsepko9.FileManagerApp). Αυτή η εφαρμογή έχει κατέβει 5.000 φορές μέσω του Google Play.
Το FileVoyager λειτουργεί παρόμοια με το X-File Manager και στοχεύει κυρίως Ηνωμένο Βασίλειο και Ιταλία.
Η τρίτη εφαρμογή που βρέθηκε ήταν η “LiteCleaner M” (com.ltdevelopergroups.litecleaner.m) που είχε συγκεντρώσει 1.000 λήψεις πριν αφαιρεθεί από το Play Store.
Αυτή τη στιγμή, ο μόνος τρόπος για να αποκτήσετε αυτή την εφαρμογή είναι μέσω καταστημάτων εφαρμογών τρίτων, όπως το APKSOS. Το ίδιο κατάστημα διαθέτει και μια άλλη κακόβουλη εφαρμογή που διανέμει το Sharkbot και ονομάζεται ‘Phone AID, Cleaner, Booster 2.6‘ (om.sidalistudio.developer.app).
Δείτε επίσης: Aurora malware: Όλο και περισσότεροι hackers το χρησιμοποιούν
Οι χρήστες Android που έχουν τις παραπάνω εφαρμογές στη συσκευή τους θα πρέπει να τις απεγκαταστήσουν αμέσως, καθώς και να αλλάξουν τους κωδικούς πρόσβασης για τυχόν διαδικτυακούς τραπεζικούς λογαριασμούς που έχουν.
Ο καλύτερος τρόπος για να προστατέψετε τη συσκευή σας από κακόβουλες εφαρμογές είναι να ενεργοποιήσετε το Google Play Protect. Αυτή η υπηρεσία θα αφαιρέσει κάθε εφαρμογή που θα μπορούσε να είναι επιβλαβής για τη συσκευή σας.
Επιπλέον, μια εφαρμογή προστασίας από ιούς για κινητά Android θα βοηθούσε στον εντοπισμό κακόβουλης δραστηριότητας και εφαρμογών, μερικές φορές ακόμη και πριν αναφερθούν στο Google Play.
Με περισσότερες από δύο δισεκατομμύρια ενεργές συσκευές, το Android είναι το πιο δημοφιλές λειτουργικό σύστημα κινητών τηλεφώνων στον κόσμο – αλλά είναι επίσης το πιο στοχευμένο από τους δημιουργούς κακόβουλου λογισμικού. Γι’ αυτό είναι σημαντικό να γνωρίζετε τους κινδύνους και να λαμβάνετε μέτρα για την προστασία της συσκευής σας.
Πηγή: www.bleepingcomputer.com