Oprogramowanie

Aplikacje Google Play kradną SMS-y i zasypują Cię nieautoryzowanymi zakupami

Aplikacje Google Play kradną SMS-y i zasypują Cię nieautoryzowanymi zakupami

Getty Images

Badacze bezpieczeństwa odkryli partię aplikacji Google Play, które kradły wiadomości tekstowe użytkowników i dokonywały nieautoryzowanych zakupów za grosze użytkowników.

Szkodliwe oprogramowanie, które było ukryte w ośmiu aplikacjach, które miały ponad 700 000 pobrań, przejęło powiadomienia SMS, a następnie dokonało nieautoryzowanych zakupów – poinformowali w poniedziałek badacze mobilni McAfee Sang Ryol Ryu i Chanung Pak. McAfee dzwoni do złośliwego oprogramowania na Androida / Etinu.

Dane użytkownika do pobrania za darmo

Naukowcy powiedzieli, że dochodzenie dotyczące serwera obsługiwanego przez atakującego, który kontrolował zainfekowane urządzenia, wykazało, że przechowuje on wszystkie rodzaje danych z telefonów użytkowników, w tym ich operatora komórkowego, numer telefonu, wiadomości SMS, adres IP, kraj i stan sieci. Serwer zapisywał również automatycznie odnawiające się subskrypcje, z których niektóre wyglądały następująco:

Bez żartów

Szkodliwe oprogramowanie przypomina, jeśli nie jest identyczne, z płodną rodziną szkodliwego oprogramowania na Androida znanego jako Joker, który również kradnie wiadomości SMS i rejestruje użytkowników w drogich usługach.

„Złośliwe oprogramowanie przejmuje funkcję Listenera powiadomień w celu kradzieży przychodzących wiadomości SMS, tak jak robi to złośliwe oprogramowanie Android Joker, bez pozwolenia na odczyt SMS-a” – napisali badacze, odnosząc się do Etinu. „Podobnie jak system łańcuchowy, szkodliwe oprogramowanie przekazuje następnie obiekt powiadomienia do ostatniego etapu. Gdy pojawi się powiadomienie z domyślnego pakietu SMS, wiadomość jest ostatecznie wysyłana za pomocą interfejsu WebView JavaScript. ”

Podczas gdy naukowcy twierdzą, że Etinu to rodzina złośliwego oprogramowania różna od Jokera, oprogramowanie zabezpieczające firm Microsoft, Sophos i innych firm używa słowa Joker w nazwach wykrywania niektórych nowo odkrytych złośliwych aplikacji. Przepływ deszyfrowania Etinu i wykorzystanie wielostopniowych ładunków są również podobne.

Przepływ deszyfrowania.

Przepływ deszyfrowania.

McAfee

W e-mailu Sang Ryol Ryu z McAfee napisał: „Chociaż Etinu wygląda bardzo podobnie do Jokera, dogłębnie, jego procesy ładowania ładunków, szyfrowania i kierowania geograficznego różnią się od Jokera”.

Ładunki Etinu pojawiają się w folderze Android Assets z nazwami plików, takimi jak „cache.bin”, „settings.bin”, „data.droid” lub „image files”.

McAfee

Wielostopniowy

Jak pokazano na powyższym schemacie odszyfrowywania, ukryty złośliwy kod w głównym pliku instalacyjnym pobranym z Play otwiera zaszyfrowany plik o nazwie „1.png” i odszyfrowuje go przy użyciu klucza, który jest taki sam jak nazwa pakietu. Wynikowy plik „loader.dex” jest następnie wykonywany, co skutkuje wysłaniem żądania HTTP POST do serwera C2.

„Co ciekawe, to złośliwe oprogramowanie korzysta z serwerów zarządzania kluczami” – napisali badacze z McAfee. „Żąda kluczy od serwerów dla drugiego ładunku zaszyfrowanego AES,„ 2.png ”. Serwer zwraca klucz jako wartość „s” w formacie JSON. Ponadto to złośliwe oprogramowanie ma funkcję automatycznej aktualizacji. Gdy serwer odpowiada na wartość „URL”, zawartość adresu URL jest używana zamiast „2.png”. Jednak serwery nie zawsze odpowiadają na żądanie lub zwracają tajny klucz. ”

McAfee

Aplikacje i odpowiadające im skróty kryptograficzne to:

08C4F705D5A7C9DC7C05EDEE3FCAD12F345A6EE6832D54B758E57394292BA651 com.studio.keypaper2021
CC2DEFEF5A14F9B4B9F27CC9F5BBB0D2FC8A729A2F4EBA20010E81A362D5560C com.pip.editor.camera
007587C4A84D18592BF4EF7AD828D5AAA7D50CADBBF8B0892590DB48CCA7487E org.my.favorites.up.keypaper
08FA33BC138FE4835C15E45D1C1D5A81094E156EEF28D02EA8910D5F8E44D4B8 com.super.color.hairdryer
9E688A36F02DD1B1A9AE4A5C94C1335B14D1B0B1C8901EC8C986B4390E95E760 com.ce1ab3.app.photo.editor
018B705E8577F065AC6F0EDE5A8A1622820B6AEAC77D0284852CEAECF8D8460C com.hit.camera.pip
0E2ACCFA47B782B062CC324704C1F999796F5045D9753423CF7238FE4CABBFA8 com.daynight.keyboard.wallpaper
50D498755486D3739BE5D2292A51C7C3D0ADA6D1A37C89B669A601A324794B06 com.super.star.ringtones

Niektóre aplikacje wyglądają tak:

McAfee

Naukowcy powiedzieli, że zgłosili aplikacje do Google, a firma je usunęła.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook