Више од 300.000 корисника инфицирало своје Андроид уређаје тројанцима из Гоогле Плаy продавнице

Више од 300.000 Андроид уређаја заражено је банкарским тројанцима након што су корисници ових уређаја инсталирали апликације из званичне Гоогле-ове Плаy продавнице током протеклих неколико мјесеци, саопштила је компанија за мобилну безбједност ТхреатФабриц.

Злонамјерни код је био сакривен у потпуно функционалним апликацијама које су изгледале као безопасне услужне апликације, док су у исто вријеме сајбер криминалцима обезбиједиле потпуну контролу над зараженим уређајима. Поред легитимне функционалности коју су нудиле, ове апликације су имале и посебан модул који се зове „лоадер“.

Лоадери су мали дјелови малвера који су скривени у апликацијама. Обично садрже врло мало и веома бенигне функционалности, као што је могуц́ност повезивања на сервер ради преузимања и покретања додатног кода. Овакав дизајн им омогуц́ава да заобиђу провјере које обавља безбједносни софтвер. Међутим, иако лоадери имају исту функционалност као и било који модул за ажурирање у апликацији, они се обично користе за повезивање са сервером нападача и преузимање и покретање злонамјерног кода, који можда нец́е бити провјерен толико колико почетна инсталација апликације.

Неке криминалне групе су креирале лажне web сајтове за своје апликације, гдје су хостовале командни и контролни сервер лоадера, тако да је сваки злонамјерни код изгледао као легитимна компонента са званичне web странице апликације.

Из ТхреатФабриц-а кажу да су примијетили четири различита Андроид банкарска тројанца који користе ове нове тактике испоруке малвера. На листи се налазе банкарски тројанци попут Анатса, Ермац, Хyдра и Алиен.

Када лоадери инсталирају неки од ова четири тројанца, они могу украсти лозинке за друштвене мреже, лозинке за апликације за поруке, мобилно банкарство и апликације за криптовалуте. Неки од њих такође имају могуц́ност да заобиђу двофакторску аутентификацију засновану на СМС-у и аутоматизују скидање новца са рачуна корисника.

Апликације које су садржале нове лоадере који су довели до инфекције банкарским тројанцима су:
» Тwо Фацтор Аутхентицатор (цом.флоwдивисон)
» Протецтион Гуард (цом.протецтионгуард.апп)
» QР ЦреаторСцаннер (цом.реадy.qрсцаннер.миx)
» Мастер Сцаннер Ливе (цом.мултифуцтион.цомбине.qр)
» QР Сцаннер 2021 (цом.qр.цоде.генерате)
» QР Сцаннер (цом.qр.барqр.сцанген)
» ПДФ Доцумент (цом.xавиермуцхес.доцсцаннерпро2)
» Сцаннер - Сцан то ПДФ
» ПДФ Доцумент Сцаннер (цом.доцсцанверифиер.мобиле)
» ПДФ Доцумент Сцаннер Фрее (цом.досцаннер.мобиле)
» ЦрyптоТрацкер (црyптолистапп.апп.цом.црyптотрацкер)
» Гyм анд Фитнесс Траинер (цом.гyм.траинер.јеуx)

Све апликације су пријављене Гоогле-у и уклоњене из продавнице.