Троян MobSTSPY, що краде інформацію, стає глобальним через Google Play

Троян MobSTSPY, що краде інформацію, стає глобальним через Google Play
Android-шпигунське ПЗ, яке отримало назву MobSTSPY, змогло впровадити троянські програми в широко поширене глобальне поширення, головним чином через Google Play.
Шкідлива програма маскується під легітимний додаток, що має на увазі такі речі, як ліхтарики, ігри та інструменти для підвищення продуктивності праці. Незважаючи на те, що в сторонніх магазинах додатків можна зустріти збройову плату за проїзд, MobSTSPY відомий тим, що йому вдалося впровадити в Google Play як мінімум шість різних додатків протягом 2018 року.
«Частина того, що робить цей випадок цікавим, полягає в тому, наскільки широко поширюються його застосування», — сказали дослідники Trend Micro Екулар Сюй і Грей Го в своєму повідомленні в четвер. «Завдяки нашим внутрішнім моніторингом і глибоким дослідженням ми змогли побачити загальний розподіл порушених користувачів і виявили, що вони родом з 196 різних країн».
Вони охоплюють весь діапазон від Мозамбіку до Польщі, від Ірану до В'єтнаму, від Алжиру до Таїланду, від Німеччини до Іраку і так далі.
Зокрема, додатками Google Play були Flappy Birr Dog, FlashLight, HZPermis Pro Arabe, Win7imulator, Win7Launcher і Flappy Bird, які з'явилися в минулому році і в даний час відсутні в магазині. Деякі були завантажені більше 100 000 разів користувачами з усього світу.
З точки зору можливостей, поганий код — це в основному викрадач інформації, хоча він також має унікальний фішингових аспект.
Коли справа доходить до першого, він виводить дані, такі як місце розташування користувача, текстові повідомлення, списки контактів, журнали викликів і елементи буфера обміну; і шкідлива програма здатна вкрасти і завантажити файли, знайдені на пристрої. Компанія Trend Micro зазначила, що вона використовує Firebase Cloud Messaging (FCM) для зв'язку зі своїм сервером командування і управління (C & C) і що вона ексфільтрует дані в залежності від того, яку команду вона отримує.
Він також збирає корисну інформацію про пристрій на початковому етапі, таку як використовуваний мову, його зареєстрована країна, ім'я пакета, виробник пристрою і т. Д., які можна використовувати для «дактилоскопії» пристрою для подальшої соціальної інженерії або атак з використанням експлойтів .
«Він відправляє зібрану інформацію на свій C & C-сервер, тим самим реєструючи пристрій», — сказали дослідники. «Після цього шкідлива програма буде очікувати і виконувати команди, відправлені зі свого сервера C & C через FCM».
На додаток до своїх можливостей крадіжки інформації, шкідлива програма може також збирати додаткові облікові дані за допомогою фішинг-атаки. Він відображає підроблені спливаючі вікна Facebook і Google, що запитують дані облікового запису користувача; якщо вони введені, він повертає повідомлення «вхід не виконано», який може не підняти червоний прапор для користувача.
«[Випадок MobSTSPY] демонструє, що, незважаючи на поширеність і корисність додатків, користувачі повинні зберігати обережність при завантаженні їх на свої пристрої», — відзначили дослідники Trend Micro. «Популярність додатків служить стимулом для кіберзлочинців продовжувати розробку кампаній, які використовують їх для крадіжки інформації або інших видів атак».
Google Play Malware
Шкідливі програми Google Play зустрічаються відносно рідко, але це, звичайно, не перший випадок, коли шкідливі програми обходять фільтри і політики Google Play. У листопаді заміновано Android додаток під назвою Simple записуючого виклику знесло — після того, як буде доступні для завантаження протягом майже року. Основна мета шкідливого ПО полягала в тому, щоб обманом змусити користувача встановити додаткове додаток, яке нібито було оновленням Adobe Flash Player.
Крім того, на початку минулого року Google видалив 22 шкідливих рекламних додатки — від ліхтариків, реєстраторів викликів до підсилювачів сигналу WiFi, які разом були завантажені з ринку Google Play до 7,5 мільйонів разів.
А в 2017 році Google завантажив 700 000 додатків з Google Play за порушення правил торговельного майданчика. Однак не всі вони були шкідливими програмами — більшість з них спеціально копіювали більш популярний додаток або обслуговували небажаний контент.
Проблема, звичайно ж, полягає в тому, що коли шкідливі програми відключаються, люди, у яких вони вже є на смартфоні, не повідомляються про цю проблему — так що, ймовірно, мільйони користувачів як і раніше мають на своєму пристрої різні шкідливі програми. Дослідження, проведене Pradeo Lab в листопаді 2018 року, фактично показало, що 89 відсотків від шкідливих додатків, які були видалені з магазинів по -, як і раніше встановлені на всіх пристроях, через шість місяців після їх видалення.
17:38
RSS
Немає коментарів. Ваш буде першим!
Завантаження...