voor Zero Day
| 15 November 2019 — 20:54 GMT (20:54 GMT)
| Onderwerp: Security
Beveiligingsonderzoekers hebben ontdekt dat er een nieuwe Android-malware soort die momenteel wordt gedistribueerd als een ad-blocker voor Android gebruikers, maar, ironisch genoeg, zodra het is geïnstalleerd, pesters slachtoffers met advertenties die door meerdere methoden om de paar minuten.
De naam FakeAdsBlock, deze nieuwe soort heeft al besmet minstens 500 gebruikers, volgens Malwarebytes, de antivirus-maker die gespot van de malware.
De verspreiding van de vector is via third-party app stores, waar het ‘ s beschikbaar voor download als een ad-blocking app genaamd Advertenties Blokker, zei Nathan Collier, Senior Malware Intelligence Analist.
Dit, echter, kunnen veranderen in de toekomst. Collier zei dat ze al bewijs gevonden dat dezelfde FakeAdsBlock malware is ook beschikbaar verborgen in apps met de naam “Hulk (2003).apk,” “Guardians of the Galaxy.apk,” en “Joker (2019).apk.” De onderzoeker zegt dit suggereert dat de malware-makers waren in het midden van het verschuiven van hun patroon om een nep film streaming portal.
Gebruikers op zoek te kijken illegale films zou uiteindelijk het installeren van een kwaadaardige app die besmet zijn met FakeAdsBlock. Deze verdeling vector is niet nieuw en is al vaak gezien wordt gebruikt voordat — vooral met apps die betrekking hebben op het verlenen van toegang tot films voor volwassenen.
FakeAdsBlock werkwijze
Als de malware zelf, FakeAdsBlock is iets anders, vooral in de onbezonnen manier bestookt gebruikers met advertenties.
Dit alles begint met het installatie proces, waar de Advertenties Blokker app (waarin de malware verborgen) vraagt om toestemming om inhoud weer te geven over andere apps.
Dit is een oneven toestemming te vragen, zeker voor een app met een duidelijk doel van het verwijderen van de inhoud, en niet iets laten zien op de top.
Maar de schaduw van de dingen blijven. De app biedt ook toegang vraagt tot het installeren van een VPN-verbinding, die nogmaals het is heel erg vreemd.
“Te verduidelijken, is de app niet echt verbinding maken met een VPN,” Collier zei. “In plaats daarvan, door het klikken op OK, gebruikers echt voor dat de malware op de achtergrond lopen op alle momenten.”
Afbeelding: Malwarebytes
Maar toch, de schaduwrijke dingen houden hier niet op. De FakeAdsBlock malware ook vraagt om een widget op het apparaat startscherm. Dit heeft geen technische betekenis van het woord, als een ad blocker is niet nodig om aan te tonen widgets — maar hierover later meer.
Zodra dit alles is voltooid, wordt de app toont een scherm met wat tekst scrollen naar beneden en verdwijnt dan goed. De malware verwijdert vervolgens het pictogram, en de ad bombardementen beginnen. Deze verschijnen overal, in verschillende vormen.
Er zijn fullscreen advertenties, meldingen van spam, en websites die van de blauwe, waarin de gebruiker in staat stellen nieuwe meldingen ook hier.
Afbeelding: Malwarebytes
Maar de roman en de meest perfide truc is het gebruik van een home screen widget om advertenties weer te geven, iets wat niet eerder gezien.
Volgens Collier, de FakeAdsBlock malware maakt gebruik van een transparante widget binnen, die het laadt advertenties op regelmatige tijdstippen. Omdat de advertenties worden weergegeven in een widget, kunnen ze niet worden ontslagen, tenzij de gebruiker verwijdert de widget. Maar omdat de gebruiker niet kan zien de widget op hun scherm, zijn ze nooit te weten de widget is er, in de eerste plaats.
Afbeelding: Malwarebytes
“Ads Blocker is buitengewoon moeilijk te vinden op het mobiele apparaat als het eenmaal geïnstalleerd is,” Collier zei. “Om te beginnen, er is geen pictogram voor Advertenties Blokker. Echter, er zijn een aantal tips van haar bestaan, bijvoorbeeld, een kleine sleutel pictogram de statusbalk.” [zie afbeelding]
“Dit icoon van een sleutel is tot stand na aanvaarding van de nep-VPN-verbinding bericht, zoals hierboven weergegeven. Als resultaat van dit kleine sleutel is het bewijs dat de malware op de achtergrond worden uitgevoerd,” de Malwarebytes onderzoeker toegevoegd.
Maar zodra gebruikers een idee krijgen dat er iets mis zou kunnen zijn, ze kunnen over het hoofd naar de Android’ apps sectie, van waar u ze kunt verwijderen als elke andere app. Hier, de app moet makkelijk te herkennen, want het is de enige zonder een pictogram of een naam. De FakeAdsBlocker auteurs dachten dat ze slim door het verbergen van deze twee details, maar ze maakte het eigenlijk opvallen verder.
Afbeelding: Malwarebytes
Veiligheid
BlueKeep benutten om een fix te krijgen voor de BSOD probleem
De grote ASP.NET hosting provider geïnfecteerd met ransomware
Apple Mail op macOS bladeren delen van versleutelde e-mails in leesbare tekst
De vaststelling van het lekken van gegevens in Jira (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Hoe om te bepalen locatie bijhouden op je iPhone in iOS 13 (TechRepublic)
Verwante Onderwerpen:
Mobiele OS
Beveiliging TV
Data Management
CXO
Datacenters
voor Zero Day
| 15 November 2019 — 20:54 GMT (20:54 GMT)
| Onderwerp: Security