Több mint 470 ezerszer töltötték le a Play Store-ba bejutott új kártevőket
Kilenc kártékony app csúszott át az alkalmazásbolt védvonalain - és egy új phishing kampány is veszélyezteti a felhasználókat.
Újabb kártékony appok bukkantak fel a Google Play Store-ban: biztonsági szakértők ezúttal kilenc, azonos támadócsoporthoz köthető alkalmazást azonosítottak, amelyek összesen már több mint 470 ezres letöltésszámot tudhatnak magukénak. Noha a Google már lépett az ügyben, nem merülnek ki ennyiben az androidos eszközökre leselkedő fenyegetések, ugyanis a fentiekkel párhuzamosan egy phishing kampány is veszélyezteti a felhasználókat.
A kilenc kártékony alkalmazást a Trend Micro szakértői csípték el. A kártevők teljesítmény- és memóriaoptimalizáló appoknak, VPN-nek vagy épp játékélmény javító appoknak adták ki magukat, és a kilencből négy rendelkezett 100 ezer fölötti letöltésszámmal. A telepítést követően az alkalmazások felvették a kapcsolatot a támadók vezérlőszervereivel, majd megkezdték kifejezetten sokrétű rosszindulatú tevékenységeiket.
Ezek közé tartozott további malware-ek telepítése (a támadók szervereiről mintegy háromezer kártevővariánst értek el az appok) illetve az egyébként ártalmatlan hirdetések megjelenítése, majd azokon kattintások sorozatos szimulálása, de a kártékony appok emellett különböző hirdetési hálózatok jutalomprogram-alkalmazásait is előszeretettel telepítették. A kártevők emellett igyekeztek rávenni a felhasználókat, hogy aktiválják számukra a telefon kisegítő lehetőségeit és kapcsolják ki a rendszer beépített Play Protect védelmi szolgáltatását, hogy aztán feltűnés nélkül telepíhessenek új malware-eket a telefonokra. A kisegítő lehetőségeken keresztül az appok a felhasználók Google és Facebook fiókjaihoz is hozzáférést szerezhettek, amelyeken hamis értékeléseket tehettek közzé.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A kampány főleg az Egyesült Államokban, Japánban, Tajvanon, Indiában és Thaiföldön volt aktív. A kutatók szeirnt feltehetően kínai székhelyű támadók állhatnak az appok mögött, miután azok Kínában egyáltalán nem voltak aktívak, sőt, mikor egy készülék földrajzi pozícióját a szakértők Kínára módosították, az alkalmazások felfüggesztettek minden kártékony tevékenységet - jó eséllyel azért, hogy a helyi hatóságok ne figyeljenek fel rájuk. A Google a szakértők figyelmeztetését követően a kártékony appokat eltávolította alkalmazásboltjából.
ANUBIS LECSAP
Az ezzel párhuzamosan felfedezett phishing kampányra a Cofense szakértői bukkantak rá, abban a felhasználókat az elkövetők emailben próbálták rávenni, hogy kattintsanak le egy számlának látszó csatolmányt, amely valójában egy kártékony APK-t tartalmaz. Ha az adott telefonon a Play Store-on kívülről származó alkalmazások telepítése engedélyezve van, a csatolmány egy hamis Google Protect üzenettel veszi rá a felhasználókat a telepítésre, majd széles körű alkalmazásengedélyei birtokában az Anubis malware-rel fertőzi meg a készülékeket.
Az Anubis az egyik legsokrétűbb androidos kártevő, az a készülékre kerülve ellenőrzi, hogy az eszköztárában szereplő több mint 260 banki és online vásárlási app valamelyike szerepel-e a készüléken, ha pedig igen, újabb phishing támadásokkal megkísérli megszerezni a felhasználó azokhoz tartozó azonosítóit. Emellett a malware még rengeteg képességgel rendelkezik, a képernyőkép-készítéstől a beállítások módosításán és az eszköz teljes körű távoli vezérlésén át az eszközön tárolt fájlok titkosításáig - így kvázi ransomware-ként is működhet. A hasonló támadások elkerülése végett mindenkinek fokozottan érdemes odafigyelni az emailben kapott csatolmányokra, és csak akkor megnyitni azokat, ha ismert, biztosnágos forrásból származnak.