Više od 300.000 korisnika inficiralo svoje Android uređaje trojancima iz Google Play prodavnice

Više od 300.000 Android uređaja zaraženo je bankarskim trojancima nakon što su korisnici ovih uređaja instalirali aplikacije iz zvanične Google-ove Play prodavnice tokom proteklih nekoliko mjeseci, saopštila je kompanija za mobilnu bezbjednost ThreatFabric.

Zlonamjerni kod je bio sakriven u potpuno funkcionalnim aplikacijama koje su izgledale kao bezopasne uslužne aplikacije, dok su u isto vrijeme sajber kriminalcima obezbijedile potpunu kontrolu nad zaraženim uređajima. Pored legitimne funkcionalnosti koju su nudile, ove aplikacije su imale i poseban modul koji se zove „loader“.

Loaderi su mali djelovi malvera koji su skriveni u aplikacijama. Obično sadrže vrlo malo i veoma benigne funkcionalnosti, kao što je mogućnost povezivanja na server radi preuzimanja i pokretanja dodatnog koda. Ovakav dizajn im omogućava da zaobiđu provjere koje obavlja bezbjednosni softver. Međutim, iako loaderi imaju istu funkcionalnost kao i bilo koji modul za ažuriranje u aplikaciji, oni se obično koriste za povezivanje sa serverom napadača i preuzimanje i pokretanje zlonamjernog koda, koji možda neće biti provjeren toliko koliko početna instalacija aplikacije.

Neke kriminalne grupe su kreirale lažne web sajtove za svoje aplikacije, gdje su hostovale komandni i kontrolni server loadera, tako da je svaki zlonamjerni kod izgledao kao legitimna komponenta sa zvanične web stranice aplikacije.

Iz ThreatFabric-a kažu da su primijetili četiri različita Android bankarska trojanca koji koriste ove nove taktike isporuke malvera. Na listi se nalaze bankarski trojanci poput Anatsa, Ermac, Hydra i Alien.

Kada loaderi instaliraju neki od ova četiri trojanca, oni mogu ukrasti lozinke za društvene mreže, lozinke za aplikacije za poruke, mobilno bankarstvo i aplikacije za kriptovalute. Neki od njih takođe imaju mogućnost da zaobiđu dvofaktorsku autentifikaciju zasnovanu na SMS-u i automatizuju skidanje novca sa računa korisnika.

Aplikacije koje su sadržale nove loadere koji su doveli do infekcije bankarskim trojancima su:
» Two Factor Authenticator (com.flowdivison)
» Protection Guard (com.protectionguard.app)
» QR CreatorScanner (com.ready.qrscanner.mix)
» Master Scanner Live (com.multifuction.combine.qr)
» QR Scanner 2021 (com.qr.code.generate)
» QR Scanner (com.qr.barqr.scangen)
» PDF Document (com.xaviermuches.docscannerpro2)
» Scanner - Scan to PDF
» PDF Document Scanner (com.docscanverifier.mobile)
» PDF Document Scanner Free (com.doscanner.mobile)
» CryptoTracker (cryptolistapp.app.com.cryptotracker)
» Gym and Fitness Trainer (com.gym.trainer.jeux)

Sve aplikacije su prijavljene Google-u i uklonjene iz prodavnice.