Hvorfor Joker Android-malware er blevet så vellykket, og hvordan man stopper det. Se nu
Over 300.000 Android-smartphone-brugere har downloadet, hvad der har vist sig at være banktrojanske heste, efter at de er blevet ofre for malware, som har omgået opdagelse af Google Play App Store.
Detaljeret af cybersikkerhedsforskere hos ThreatFabric, leveres de fire forskellige former for malware til ofrene via ondsindede versioner af almindeligt downloadede applikationer, herunder dokumentscannere, QR-kodelæsere, fitnessmonitorer og kryptovaluta-apps. Apps kommer ofte med de funktioner, som annonceres for at undgå, at brugerne bliver mistænksomme.
I hvert tilfælde er den ondsindede hensigt med appen skjult, og processen med at levere malwaren begynder først, når appen er blevet installeret, hvilket gør det muligt for dem at omgå registreringer i Play Butik.
Den mest produktive af de fire malware-familier er Anatsa, som er blevet installeret af over 200.000 Android-brugere – forskere beskriver den som en “avanceret” banktrojaner, der kan stjæle brugernavne og adgangskoder og bruger tilgængelighedslogning til at fange alt, der vises på brugerens skærm. , mens en keylogger tillader angribere at registrere alle oplysninger, der er indtastet i telefonen.
Anasta malware har været aktiv siden januar, men ser ud til at have fået et betydeligt skub siden juni – forskere var i stand til at identificere seks forskellige ondsindede applikationer designet til at levere malwaren. Disse omfatter apps, der udgav sig som QR-kodescannere, PDF-scannere og kryptovaluta-apps, som alle leverer malwaren.
En af disse apps er en QR-kodescanner, som er blevet installeret af 50.000 brugere alene, og downloadsiden har et stort antal positive anmeldelser, noget som kan opmuntre folk til at downloade appen. Brugere dirigeres til apps via phishing-e-mails eller ondsindede annoncekampagner.
Efter den første download er brugerne tvunget til at opdatere appen for at fortsætte med at bruge den – det er denne opdatering, der forbinder til en kommando- og kontrolserver og downloader Anatsa-nyttelasten til enheden, hvilket giver angribere mulighed for at stjæle bankoplysninger og andre oplysninger.
Den næstmest produktive af malware-familierne beskrevet af forskere hos ThreatFabric er Alien, en Android-banktrojaner som også kan stjæle to-faktor-godkendelsesfunktioner, og som har været aktiv i over et år. Malwaren har modtaget 95.000 installationer via ondsindede apps i Play Butik.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
En af disse er en fitness- og fitnesstræningsapp, som når den kommer med et understøttende websted designet til at øge legitimiteten , men nøje inspektion af webstedet afslører pladsholdertekst over det hele. Hjemmesiden fungerer også som kommando- og kontrolcenter for Alien-malwaren.
Ligesom Anasta indeholder den første download ikke malware, men brugerne bliver bedt om at installere en falsk opdatering – forklædt som en pakke med nye fitness-regimer – som distribuerer nyttelasten.
De to andre former for malware, der er blevet droppet ved hjælp af lignende metoder i de seneste måneder, er Hydra og Ermac, som tilsammen har mindst 15.000 downloads. ThreatFabric har knyttet Hydra og Ermac til Brunhilda, en cyberkriminel gruppe kendt for at målrette Android-enheder med bank-malware. Både Hydra og Ermac giver angribere adgang til den enhed, der kræves for at stjæle bankoplysninger.
ThreatFabric har rapporteret alle de ondsindede apps til Google, og de er enten allerede blevet fjernet eller er under gennemgang. Cyberkriminelle vil løbende forsøge at finde måder at omgå beskyttelser for at levere mobil malware, som bliver mere og mere attraktivt for cyberkriminelle.
“Android-bankmalware-ekkosystemet udvikler sig hurtigt. Disse tal, som vi observerer nu, er resultatet af et langsomt, men uundgåeligt fokusskift fra kriminelle mod det mobile landskab. Med dette i tankerne er Google Play Butik den mest attraktive platform, der skal bruges til at betjene malware,” fortalte Dario Durando, mobil malware-specialist hos ThreatFabric til ZDNet.
Den overbevisende karakter af de ondsindede apps betyder, at de kan være svære at identificere som en potentiel trussel, men der er trin, brugere kan tage for at undgå infektion
“En god tommelfingerregel er altid at tjekke opdateringer og altid være meget forsigtig, før du tildeler privilegier til tilgængelighedstjenester – som vil blive anmodet om af den ondsindede nyttelast, efter “opdaterings”-installationen – og være på vagt over for applikationer, der beder om at installere yderligere software, ” sagde Durando.
ZDNet forsøgte at kontakte Google for at få kommentarer, men havde ikke modtaget et svar på tidspunktet for offentliggørelsen.
MERE OM CYBERSIKKERHED
Denne nye Android-malware får fuld kontrol over din telefon for at stjæle adgangskoder og oplysninger Adgangskodestjælende Android-malware bruger luskede sikkerhedsadvarsler til at narre dig til at downloadeDenne Android-trojanske malware bruger falske apps til at inficere smartphones, stjæle bankoplysninger Joker-faktureringssvig malware fundet i Google Play ButikNy ormbar Android-malware udgør Netflix for at kapre WhatsApp-sessioner Security TV | Datastyring | CXO | Datacentre