Noll
Video: Rogue Android apps glidit förbi Google säkerhet, plågats upp 4,2 miljoner nedladdningar
Skadlig kod som syftar till att stjäla Facebook inloggningsuppgifter och även aggressivt visar popup-annonser har avslöjats med inriktning Android-användare via Google Play store — och kan ha laddats ner av tusentals ovetande offer.
Dubbade GhostTeam efter strängar i koden av analytiker på säkerhetsföretaget Trend Micro som upptäckt det, malware publicerades först i April 2017 och var förklädd i den officiella Android marketplace som verktyg apps, prestanda boosters och sociala medier video dataöverföring.
Totalt 53 ansökningar har identifierats som distributörer av GhostTeam malware, och medan det finns ingen exakt siffra på hur många människor som av misstag har kompromissat sin enhet, en skadlig app — marknadsförs som ett medel för att ladda ner videos från Facebook — har laddats ner mellan 100 000 och 500 000 gånger.
Det är inte klart varför angriparna kommer efter Facebook-konton, forskare tyder på att de kan användas för allt från att distribuera ytterligare skadlig kod, till gruvdrift cryptocurrency, att använda sociala medier som plattform för att sprida falska nyheter.
Efter att ha hämtat, GhostTeam firsts kontroller för att se till att telefonen inte körs i en emulator eller virtuell miljö — en strategi sannolikt anställd av dess utvecklare för att säkerställa deras skadliga koden är svår att undersöka.
När det är verifierats att GhostTeam ladda ner har gjorts till en vanlig Android-enhet, last tappas, förklädd som “Google Play-Tjänster” för att göra ett falskt påstående om att behöva kontrollera en app.
Denna skadliga Facebook video-app har laddats ner över 100 000 gånger.
Bild: Trend Micro
Efter detta, om användaren öppnar Google Play eller Facebook, de är ombedd att installera den falska versionen av Google Play-Tjänster, som sedan ber om administrativa privilegier, vilket ger GhostTeam kontroll av enheten.
När den infekterade användaren öppnar nästa deras Facebook-appen, de blir ombedd att bekräfta sitt konto med vad som ser ut som vanliga inloggning förfarande. Men bakom kulisserna, skadlig kod injiceras i en WebView klient, gör det möjligt för stöld av e-postadress och lösenord skrivs in, med data som skickas till ett kommando och kontroll server.
Läs nu: Cybersäkerhet 2018: En roundup av förutsägelser
Om inte två-faktor autentisering används, detta innebär att den Facebook-konto i händerna på angripare att använda som de vill. Samtidigt kampanjer med hjälp av den stulna inloggningsuppgifter har ännu inte sett i det vilda, “det är inte långsökt att tro att de skulle”, sade Kevin Sun, mobila hot analytiker på Trend Micro.
Förutom att stjäla Facebook referenser, GhostTeam också aggressivt driver full-screen pop-up-annonser till offer-mest sannolikt som ett sätt att generera intäkter från klick. För att driva det högsta antalet annonser som möjligt, det visar full skärm annonser på startskärmen när användaren interagerar med enheten. Det håller också enheten vaken genom att visa annonser i bakgrunden.
Den högsta andelen GhostTeam offer är i Indien, som nyligen gick om USA som det land med flest Facebook-användare. Som ger angriparna med en stor bas av potentiella offer att stjäla konton. Ett betydande antal infektioner har också upptäckts i Indonesien, Brasilien, Vietnam, Australien och Filippinerna.
Forskare föreslår att den skadliga appar kan vara produkten av cyberbrottslingar i Vietnam, på grund av “betydande användning” av Vietnamesiska språk i koden. I Vietnam, det förvalda språket för skadliga appar är inställd på Vietnamesiska, medan utanför Vietnam återgår till engelska.
Se även: Kan Google vinna kampen med Android-malware?
Trend Micro redovisas resultaten för Google och alla skadliga GhostTeam apps har nu tagits bort från Google Play store. ZDNet kontaktade Google för ett uttalande, men hade inte fått något svar, vid tidpunkten för publicering.
Facebook har också blivit medvetna om konto skadliga program som stjäl. “Vi blockerar fördelningen av dessa appar där vi kan och vi har system för att upptäcka nedsatt konton och referenser,” sade en Facebook talesperson.
Användare kan försöka att undvika att bli smittad av Android-malware genom att hålla sin enhet korrigerad och uppdaterad, och genom att kontrollera äktheten och recensioner av apps innan du laddar ner dem.
De som fruktar sin enhet har äventyrats av GhostTeam kan minska det genom att inaktivera enhetens administratör har — och bör gå att ändra deras Facebook inloggningsuppgifter för att hindra angriparna från att ha fortsatt åtkomst till sitt konto
De senaste och relaterade täckning
Android säkerhet: Google sprickor ner på appar som vill använda tjänster tillgänglighet
Åtgärden skulle förhindra funktion utformad för att hjälpa användare med funktionshinder från att missbrukas av skadliga program-men kan tvinga fram förändringar för populära program också.
Android säkerhet: Mynt gruvarbetare visa upp i appar och webbplatser för att bära ut din CPU
Räkna med att se mer gruvarbetare tyst tuggar upp CPU-resurser via din webbläsare.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Facebook Messenger-användare? Se upp för falska meddelanden är försedda med malwareThis är det enklaste sättet att förhindra att skadlig programvara på din Android-enhet [MAG]Falska säkerhet Android appar på Google Play Store sprider skadlig kod, spårning usersAndroid malware förbi Google Play store säkerhet, kan ha smittat 4,2 miljoner enheter [TechRepublic]Android säkerhet: Ficklampa appar på Google Play infekterad med adware ner med 1,5 miljoner invånare
Relaterade Ämnen:
Rörlighet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0