ΑρχικήsecurityΚινεζική εταιρεία μάρκετινγκ μοιράζει adware για προώθηση εφαρμογών

Κινεζική εταιρεία μάρκετινγκ μοιράζει adware για προώθηση εφαρμογών

Μια κινεζική εταιρεία που διαφημίζεται ως διαφημίστρια εφαρμογών κινητού εξαπάτησε τους πελάτες της αναπτύσσοντας adware για να εγκαταστήσει εφαρμογές της σε ανυποψίαστα θύματα.
Η εταιρεία, που ονομάζεται NGE Mobi/Xinyinhe, με δράση στην Κίνα και τη Σιγκαπούρη, χρησιμοποίησε δημοφιλείς εφαρμογές, αναδιαμορφώνοντάς τις με κακόβουλο κώδικα adware, ο οποίος διανέμεται μέσω ανεπίσημων Android app stores.
Όταν οι χρήστες εγκαταστήσουν αυτές τις εφαρμογές στα smartphones τους, το Αdware ζωντανεύει, συλλέγει πληροφορίες για τη συσκευή, τις στέλνει σε έναν C & C εξυπηρετητή, και στη συνέχεια περιμένει νέες εντολές.
Όταν ο διακομιστής απαντήσει, η εφαρμογή συνεχίζει εγκαθιστώντας μια root κερκόπορτα και μια σειρά από daemons που της επιτρέπουν να επιβιώσει και μετά από επανεκκίνηση του συστήματος.
Εδώ ξεκινά η διασκέδαση, επειδή μόλις το adware έχει σταθερά «εμφυτευθεί» στο τηλέφωνο του θύματος, αρχίζει να εξυπηρετεί συγκεκριμένες εφαρμογές και διαφημίσεις, όλες από το χαρτοφυλάκιο της NGE Mobi/Xinyinhe.

Κινεζική εταιρεία μάρκετινγκ μοιράζει adware για προώθηση εφαρμογών
Όπως διαπίστωσε η FireEye στην έρευνά της, τις περισσότερες φορές εμφανίζονται πορνογραφικές εφαρμογές και διαφημίσεις interstitials στην αρχική οθόνη του χρήστη, όλες ακίνδυνες αλλά πολύ ενοχλητικές.
Προς το παρόν, το adware έχει βρεθεί σε εκδόσεις Android που κυμαίνονται από την έκδοση 2.3.4 έως και την 5.1.1. με τους πιο μολυσμένους χρήστες να βρίσκονται σε χώρες όπως η Ρωσία, η Κίνα, η Βραζιλία, η Αργεντινή, η Αίγυπτος, η Ισπανία, η Γαλλία, η Γερμανία, η Σουηδία, η Νορβηγία, η Σαουδική Αραβία, η Ινδονησία, η Ινδία, το Ηνωμένο Βασίλειο, και οι ΗΠΑ.
Η NGE εκστρατεία adware παρατηρήθηκε για πρώτη φορά τον Αύγουστο και έχει εξελιχθεί με ένα σταθερό ρυθμό από τότε.
Το χειρότερο όλων, επισημαίνουν οι ερευνητές της FireEye, είναι ότι οι δημιουργοί του Αdware ήταν εξαιρετικά απρόσεκτοι όταν συνδύασαν τον κακόβουλο κώδικα.
Επειδή οι C & C εξυπηρετητές επικοινωνιών πραγματοποιούνται μέσω των τυφλών κανάλια HTTP, ένας δεύτερος εισβολέας θα μπορούσε εύκολα να παρεμποδίσει αυτές τις μεταδόσεις.
Από τη στιγμή που το Αdware κέρδισε root προνόμια και εκκίνηση μαζί με τη συσκευή σε όλες τις μολυσμένες συσκευές, ένας άλλος εισβολέας θα μπορούσε να χρησιμοποιήσει αυτό το πλεονέκτημα για να εξυπηρετήσει πολύ πιο επικίνδυνες εφαρμογές σε σύγκριση με τις ανόητες εφαρμογές ενηλίκων και τις διαφημίσεις.
Το πρώτο παράδειγμα που μου έρχεται στο μυαλό είναι όταν ο δεύτερος εισβολέας προσθέτει τα μολυσμένα τηλέφωνα σε ένα botnet και τα χρησιμοποιεί για να πραγματοποιήσει επιθέσεις DDOS. Ακόμη χειρότερα σενάρια είναι όταν οι επιτιθέμενοι αποφασίσουν να κατασκοπεύσουν τις προσωπικές φωτογραφίες σας ή να εγκαταστήσουν ransomware στο τηλέφωνό σας.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS