Böswillige Google Play Apps nach sich ziehen Bankdaten des Benutzers gestohlen
[ad_1]
Forscher sagten, sie nach sich ziehen entdeckte eine Schlange von Apps, die mehr wie 300.000 Mal von Google Play heruntergeladen wurden, vor sich herausstellte, dass es sich im Rahmen den Apps um Banktrojaner handelte, die heimlich Benutzerpasswörter und Zwei-Merkmal-Authentifizierungscodes abgriffen, Tastenanschläge protokollierten und Screenshots machten.
Die Apps, die sich wie QR-Scanner, Portable Document Format-Scanner und Kryptowährungs-Wallets verteilen, gehörten zu vier verschiedenen Menschenähnlicher Roboter-Schadsoftware-Familien, die via vier Monate verteilt wurden. Sie verwendeten mehrere Tricks, um die Beschränkungen zu umgehen, die Google entwickelt hat, um die endlose Verbreitung betrügerischer Apps uff seinem offiziellen Marktplatz einzudämmen. Zu diesen Einschränkungen gehört die Einschränkung jener Nutzung von Barrierefreiheitsdiensten zu Gunsten von sehbehinderte Benutzer, um die automatische Installation von Apps ohne Zustimmung des Benutzers zu verhindern.
Dicker Teppich Fußabdruck
„Welches es sehr schwierig macht, ebendiese Google Play-Verteilungskampagnen aus jener Zweck jener Automatisierung (Sandbox) und des maschinellen Lernens zu wiedererkennen, ist, dass Dropper-Apps aufgebraucht verdongeln sehr geringen bösartigen Fußabdruck nach sich ziehen“, schrieben Forscher des mobilen Sicherheitsunternehmens ThreatFabric in einem Gebühr. „Dieser kleine Fußabdruck ist eine (direkte) Folge jener von Google Play erzwungenen Berechtigungsbeschränkungen.“
Stattdessen lieferten die Kampagnen in jener Regel zunächst eine harmlose App. Nachdem jener Installation jener App erhielten die Benutzer Nachrichtensendung, in denen sie aufgefordert wurden, Updates herunterzuladen, die zusätzliche Funktionen installierten. Zu Gunsten von die Apps mussten oft Updates von Drittanbietern heruntergeladen werden, daher solange bis dorthin vertrauten ihnen viele Benutzer. Die meisten Apps hatten zu Anfang keine Erkennungen durch Schadsoftware-Checker, die uff VirusTotal verfügbar waren.
Die Apps flogen sogar durch andere Mechanismen unter dem Radar. In vielen Fällen installierten die Schadsoftware-Betreiber bösartige Updates manuell, nachdem sie den geografischen Standort des infizierten Telefons überprüft oder die Telefone inkrementell aktualisiert hatten.
„Jene unglaubliche Berücksichtigung, die dem Umgehen unerwünschter Berücksichtigung gewidmet wird, macht die automatische Schadsoftware-Erkennung weniger zuverlässig“, erklärt jener ThreatFabric-Postamt. „Jene Betrachtung wird durch die sehr niedrige VirusTotal-Gesamtbewertung jener 9 Dropper bestätigt, die wir in diesem Blogpost untersucht nach sich ziehen.“
Die Schadsoftware-Familie, die zu Gunsten von die meisten Infektionen zuständig ist, heißt Anatsa. Dieser „ungefähr fortschrittliche Menschenähnlicher Roboter-Banking-Trojanisches Pferd“ bietet eine Vielzahl von Funktionen, darunter Fernzugriff und automatische Überweisungssysteme, die die Konten jener Todesopfer selbstbeweglich leeren und die Inhalte an Konten jener Schadsoftware-Betreiber senden.
Die Forscher schrieben:
Jener Infektionsvorgang mit Anatsa sieht so aus: Beim Start jener Installation von Google Play ist jener Nutzer gezwungen, die App zu updaten, um die App weiterhin nutzen zu können. In diesem Moment, [the] Die Anatsa-Nutzlast wird von den C2-Servern heruntergeladen und uff dem Gerät des ahnungslosen Opfers installiert.
Die Akteure hinter sorgten hierfür, dass ihre Apps legitim und nützlich aussehen. Es gibt viele positive Bewertungen zu Gunsten von die Apps. Die Menge jener Installationen und dasjenige Vorhandensein von Bewertungen können Menschenähnlicher Roboter-Benutzer davon überzeugen, die App zu installieren. Darüber hinaus besitzen ebendiese Apps tatsächlich die beanspruchte Systemfunktionalität; nachdem jener Installation funzen sie normal und überzeugen weiter [the] Todesopfer [of] ihre Rechtsgültigkeit.
Unlust jener überwältigenden Menge von Installationen wird nicht jedes Gerät, uff dem ebendiese Tropfer installiert sind, Anatsa erhalten, da die Akteure sich bemüht nach sich ziehen, nur uff die Regionen ihres Interesses abzuzielen.
Drei weitere von den Forschern gefundene Schadsoftware-Familien waren Außerirdischer, Hydra und Ermac. Einer jener Dropper, die zum Herunterladen und Installieren bösartiger Nutzlasten verwendet wurden, war wie Gymdrop vertraut. Es verwendete Filterregeln basierend uff dem Vorbild des infizierten Geräts, um dasjenige Zielen uff Forschergeräte zu verhindern.
Neue Trainingsübungen
„Wenn aufgebraucht Bedingungen erfüllt sind, wird die Nutzlast heruntergeladen und installiert“, heißt es in dem Gebühr. „Dieser Dropper fordert sogar keine Berechtigungen zu Gunsten von den Accessibility Tafelgeschirr an; es fordert lediglich die Berechtigung zum Installieren von Paketen an, gewürzt mit dem Versprechen, neue Trainingsübungen zu installieren – um den Benutzer dazu zu verleiten, ebendiese Berechtigung zu erteilen. Nachdem jener Installation wird die Nutzlast gestartet. Unsrige Bedrohungsinformationen zeigen, dass dieser Dropper derzeit zur Verteilung verwendet wird [the] Außerirdischer Banking-Trojanisches Pferd.“
Um verdongeln Kommentar gebeten, wies ein Google-Sprecher uff diesen Gebühr vom vierter Monat des Jahres hin, in dem die Methoden des Unternehmens zur Erkennung bösartiger Apps beschrieben werden, die an Play gesendet werden.