Google Sklep Play: usunięto kolejne aplikacje. Zawierały trojana bankowego Cerberus
Zespół ekspertów z firmy Bitdefender wykrył w Sklepie Play oraz w kilku innych źródłach złośliwe aplikacje. Dzięki wykorzystaniu serwera CnC, malware było dostarczane na smartfona dopiero po określonym czasie, co pozwoliło na skuteczne ukrycie przed zabezpieczeniami Google Play Protect.
30.09.2020 10:26
Zaledwie kilka dni temu eksperci z zespołu ZScaler poinformowali o wykryciu 16 aplikacji zawierających trojana z rodziny Joker. Jego działanie jest jednym z bardziej złośliwych, ponieważ nie wymaga aplikacji bankowych, aby narobić szkód. Dzięki uzyskaniu praktycznie całkowitego dostępu, uruchamia płatne subskrypcje lub wysyła płatne wiadomości premium.
Teraz Bitdefender informuje o zagrożeniu określonym jako Android.Trojan.Downloader.UT. Zostało wykryte dzięki wykorzystaniu algorytmów uczenia maszynowego. Najstarsze z aplikacji zawierających złośliwe oprogramowanie trafiły do Sklepu Play jeszcze w lutym tego roku, a najnowsze zaledwie kilka dni temu. To oczywiście nie oznacza, że przez ponad pół roku były niebezpieczne.
Aplikacje różnią się popularnością i przeznaczeniem. Te najbardziej popularne zostały pobrane powyżej 10 tysięcy razy. Złośliwe oprogramowanie kryło się głównie w aplikacjach typu fitness, ale też w innych typowo użytkowych programach. Same w sobie nie stanowiły zagrożenia, natomiast zmuszały użytkownika do pobrania złośliwego trojana z rodziny Cerberus.
To złośliwe oprogramowanie skupia się głównie na pozyskaniu danych bankowości internetowej i przechwytywaniu wiadomości SMS. Aby to zrobić, najpierw musi uzyskać odpowiednie uprawnienia, czyli "ułatwienia dostępu" Androida. Od tego momentu, aplikacja ma już całkowitą kontrolę nad systemem smartfona. Próba zalogowania się do banku z zainfekowanego urządzenia skończy się utratą pieniędzy.
Badacze Bitdefendera twierdzą, że twórcy złośliwego oprogramowania prowadzą selekcję, mającą na celu określić kto i kiedy powinien otrzymać trojana. Takie działanie utrudnia śledzenie pobranych plików apk. Natomiast za napisanie aplikacji odpowiadają najprawdopodobniej Rosjanie.
Bitdefender wykrył dwie wersje Android.Trojan.Downloader.UT. Pierwsza (V1: com.radiofun.app i me.maxdev.popularmoviesapp) pochodzi z lutego bieżącego roku. Natomiast nowsza odmiana ukazała się w czerwcu. Wyróżnia ją przede wszystkim bardziej zaawansowana komunikacja z serwerem, co pozwala napastnikom na lepszą kontrolę procesu instalacji trojana.