Hvorfor Joker Android-malware har blitt så vellykket, og hvordan stoppe det Se nå
Over 300 000 Android-smarttelefonbrukere har lastet ned det som har vist seg å være banktrojanere etter å ha blitt offer for skadelig programvare som har omgått oppdagelse av Google Play-appbutikken.
Detaljert av cybersikkerhetsforskere ved ThreatFabric, de fire forskjellige formene for skadelig programvare leveres til ofrene via ondsinnede versjoner av ofte nedlastede applikasjoner, inkludert dokumentskannere, QR-kodelesere, treningsmonitorer og kryptovalutaapper. Appene kommer ofte med funksjonene som annonseres for å unngå at brukere blir mistenksomme.
I hvert tilfelle er den ondsinnede hensikten med appen skjult, og prosessen med å levere skadelig programvare begynner først når appen er installert, noe som gjør at de kan omgå Play Store-deteksjoner.
Den mest produktive av de fire skadevarefamiliene er Anatsa, som har blitt installert av over 200 000 Android-brukere – forskere beskriver den som en “avansert” banktrojaner som kan stjele brukernavn og passord, og bruker tilgjengelighetslogging for å fange opp alt som vises på brukerens skjerm. , mens en keylogger lar angripere registrere all informasjon som legges inn i telefonen.
Anasta malware har vært aktiv siden januar, men ser ut til å ha fått et betydelig push siden juni – forskere var i stand til å identifisere seks forskjellige ondsinnede applikasjoner designet for å levere skadelig programvare. Disse inkluderer apper som poserte som QR-kodeskannere, PDF-skannere og kryptovalutaapper, som alle leverer skadelig programvare.
En av disse appene er en QR-kodeskanner som har blitt installert av 50 000 brukere alene, og nedlastingssiden har et stort antall positive anmeldelser, noe som kan oppmuntre folk til å laste ned appen. Brukere ledes til appene via phishing-e-poster eller ondsinnede annonsekampanjer.
Etter den første nedlastingen blir brukere tvunget til å oppdatere appen for å fortsette å bruke den – det er denne oppdateringen som kobles til en kommando- og kontrollserver og laster ned Anatsa-nyttelasten til enheten, og gir angripere midler til å stjele bankdetaljer og annen informasjon.
Den nest mest produktive av skadevarefamiliene beskrevet av forskere ved ThreatFabric er Alien, en Android-banktrojaner som også kan stjele tofaktorautentiseringsfunksjoner og som har vært aktiv i over et år. Skadevaren har mottatt 95 000 installasjoner via ondsinnede apper i Play Store.
SE: En vinnende strategi for cybersikkerhet (ZDNet-spesialrapport)
En av disse er en trenings- og treningsapp som kommer med et støttenettsted designet for å øke legitimiteten , men nøye inspeksjon av nettstedet avslører plassholdertekst over det hele. Nettstedet fungerer også som kommando- og kontrollsenter for Alien malware.
I likhet med Anasta inneholder ikke den første nedlastingen skadelig programvare, men brukere blir bedt om å installere en falsk oppdatering – forkledd som en pakke med nye treningsregimer – som distribuerer nyttelasten.
De to andre formene for skadelig programvare som har blitt fjernet ved bruk av lignende metoder de siste månedene er Hydra og Ermac, som til sammen har minst 15 000 nedlastinger. ThreatFabric har knyttet Hydra og Ermac til Brunhilda, en cyberkriminell gruppe kjent for å målrette Android-enheter med bankprogramvare. Både Hydra og Ermac gir angripere tilgang til enheten som kreves for å stjele bankinformasjon.
ThreatFabric har rapportert alle de skadelige appene til Google, og de er enten allerede fjernet eller er under vurdering. Cyberkriminelle vil kontinuerlig forsøke å finne måter å omgå beskyttelse for å levere mobil malware, som blir stadig mer attraktivt for nettkriminelle.
“Android banking malware ekkosystemet utvikler seg raskt. Disse tallene som vi observerer nå er et resultat av en langsom, men uunngåelig endring av fokus fra kriminelle mot det mobile landskapet. Med dette i tankene er Google Play Store den mest attraktive plattform å bruke for å betjene skadelig programvare,” sa Dario Durando, spesialist på mobil malware hos ThreatFabric til ZDNet.
Den overbevisende naturen til de ondsinnede appene betyr at de kan være vanskelige å identifisere som en potensiell trussel, men det finnes skritt brukere kan ta for å unngå infeksjon
“En god tommelfingerregel er å alltid sjekke oppdateringer og alltid være veldig forsiktig før du gir tilgangstjenester privilegier – som vil bli forespurt av den ondsinnede nyttelasten, etter installasjonen av “oppdateringen” – og vær forsiktig med programmer som ber om å installere tilleggsprogramvare, ” sa Durando.
ZDNet forsøkte å kontakte Google for kommentar, men hadde ikke mottatt svar på publiseringstidspunktet.
MER OM CYBERSIKKERHET
Denne nye Android-skadevare får full kontroll over telefonen din for å stjele passord og informasjon Passordstjeling av Android-ondsinnet programvare bruker fordekte sikkerhetsadvarsler for å lure deg til å laste nedDenne Android-trojanske malware bruker falske apper for å infisere smarttelefoner, stjele bankopplysninger Joker-faktureringssvindel malware funnet i Google Play StoreNy ormbar Android-malware stiller seg som Netflix for å kapre WhatsApp-økter Security TV | Databehandling | CXO | Datasentre