Varför Joker Android skadlig kod har blivit så framgångsrik och hur man stoppar den Titta nu
Över 300 000 Android-smarttelefonanvändare har laddat ner vad som har visat sig vara banktrojaner efter att ha fallit offer för skadlig programvara som har kringgått upptäckten av Google Plays appbutik.
Detaljerad information av cybersäkerhetsforskare på ThreatFabric, de fyra olika formerna av skadlig programvara levereras till offer via skadliga versioner av vanliga nedladdade applikationer, inklusive dokumentskannrar, QR-kodläsare, träningsmonitorer och kryptovalutaappar. Apparna kommer ofta med de funktioner som annonseras ut för att undvika att användare blir misstänksamma.
I varje fall döljs appens skadliga avsikt och processen att leverera skadlig programvara börjar först när appen har installerats, vilket gör att de kan kringgå upptäckter i Play Butik.
Den mest produktiva av de fyra skadliga programfamiljerna är Anatsa, som har installerats av över 200 000 Android-användare – forskare beskriver den som en “avancerad” banktrojan som kan stjäla användarnamn och lösenord och som använder tillgänglighetsloggning för att fånga allt som visas på användarens skärm , medan en keylogger tillåter angripare att registrera all information som skrivs in i telefonen.
Anasta skadlig programvara har varit aktiv sedan januari, men verkar ha fått en rejäl push sedan juni – forskare kunde identifiera sex olika skadliga applikationer utformade för att leverera skadlig programvara. Dessa inkluderar appar som utgav sig som QR-kodskannrar, PDF-skannrar och kryptovalutaappar, som alla levererar skadlig programvara.
En av dessa appar är en QR-kodskanner som har installerats enbart av 50 000 användare och nedladdningssidan har ett stort antal positiva recensioner, något som kan uppmuntra folk att ladda ner appen. Användare dirigeras till apparna via nätfiske-e-post eller skadliga annonskampanjer.
Efter den första nedladdningen tvingas användare att uppdatera appen för att fortsätta använda den – det är den här uppdateringen som ansluter till en kommando- och kontrollserver och laddar ner Anatsa-nyttolasten till enheten, vilket ger angripare möjlighet att stjäla bankuppgifter och annan information.
Den näst mest produktiva av de skadliga programfamiljerna som forskare vid ThreatFabric beskriver är Alien, en Android-banktrojan som också kan stjäla tvåfaktorsautentiseringsfunktioner och som har varit aktiv i över ett år. Skadlig programvara har fått 95 000 installationer via skadliga appar i Play Butik.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
En av dessa är en app för gym och fitnessträning som kommer med en stödjande webbplats utformad för att öka legitimiteten , men en noggrann inspektion av webbplatsen avslöjar platshållartext överallt. Webbplatsen fungerar också som kommando- och kontrollcenter för Alien malware.
Liksom Anasta innehåller den första nedladdningen inte skadlig programvara, men användarna uppmanas att installera en falsk uppdatering – förklädd som ett paket med nya träningsregimer – som distribuerar nyttolasten.
De andra två formerna av skadlig programvara som har släppts med liknande metoder under de senaste månaderna är Hydra och Ermac, som har sammanlagt minst 15 000 nedladdningar. ThreatFabric har kopplat Hydra och Ermac till Brunhilda, en cyberkriminell grupp som är känd för att rikta in sig på Android-enheter med skadlig programvara för banker. Både Hydra och Ermac ger angripare tillgång till den enhet som krävs för att stjäla bankinformation.
ThreatFabric har rapporterat alla skadliga appar till Google och de har antingen redan tagits bort eller är under granskning. Cyberbrottslingar kommer ständigt att försöka hitta sätt att kringgå skydd för att leverera mobil skadlig kod, som blir allt mer attraktiv för cyberbrottslingar.
“Android-banksystemet för skadlig programvara utvecklas snabbt. Dessa siffror som vi observerar nu är resultatet av en långsam men oundviklig förskjutning av fokus från brottslingar till det mobila landskapet. Med detta i åtanke är Google Play Butik den mest attraktiva plattform att använda för att betjäna skadlig programvara, säger Dario Durando, specialist på mobil skadlig programvara på ThreatFabric till ZDNet.
De skadliga apparnas övertygande karaktär gör att de kan vara svåra att identifiera som ett potentiellt hot, men det finns åtgärder som användare kan vidta för att undvika infektion
“En bra tumregel är att alltid kontrollera uppdateringar och alltid vara mycket försiktig innan du beviljar tillgänglighetstjänster privilegier – som kommer att begäras av den skadliga nyttolasten, efter installationen av “uppdateringen” – och vara försiktig med applikationer som ber om att installera ytterligare programvara, sa Durando.
ZDNet försökte kontakta Google för kommentarer men hade inte fått något svar vid tidpunkten för publiceringen.
MER OM CYBERSÄKERHET
Denna nya Android-skadliga programvara får full kontroll över din telefon för att stjäla lösenord och information Lösenordsstjälande skadlig programvara för Android använder lömska säkerhetsvarningar för att lura dig att ladda nerDenna trojanska skadliga Android-program använder falska appar för att infektera smartphones, stjäla bankuppgifter Joker-faktureringsbedrägeri skadlig programvara hittad i Google Play ButikNy skadlig programvara som kan maskas för Android poserar som Netflix för att kapa WhatsApp-sessioner Security TV | Datahantering | CXO | Datacenter