Η Badania punktów kontrolnych (CPR) zidentyfikował sześć aplikacji w Play Store Google, które rozpowszechniają złośliwe oprogramowanie podszywając się pod rozwiązania antywirusowe.
Γznany jako Rekinbot, złośliwe oprogramowanie kradnie dane uwierzytelniające i informacje bankowe. Podczas swoich badań CPR liczone ponad 1.000 unikalnych adresów IP adresy zainfekowanych urządzeń, głównie w Wielkiej Brytanii i we Włoszech. Jednak jego statystyki Sklep Google play ujawniło, że złośliwe aplikacje zostały pobrane ponad 11.000 czasy.
To Rekinbot wabi swoje ofiary alarmami naciskać i nakłanianie użytkowników do wprowadzania danych uwierzytelniających w środowiskach naśladujących formularze wprowadzania danych. TEN CPR podejrzewa, że zagrożenie jest rosyjskojęzyczne i ostrzega użytkowników Androida na całym świecie, aby zachowali szczególną ostrożność przed pobraniem rozwiązań antywirusowych na Play Store.
- To 62% ofiar znaleziono we Włoszech, 36% w UK, 2% w innych krajach
- Operatorzy zagrożeń wdrożyli ogrodzenia geograficzne, które ignorują użytkowników urządzeń w Chinach, Indiach, Rumunii, Rosji, Ukrainie i Białorusi
- RKO natychmiast zgłosiło jej wyniki w Google, który usunął złośliwe aplikacje
Η Badania punktów kontrolnych (CPR) Odkrył sześć aplikacji które rozpowszechniają złośliwe oprogramowanie bankowe w sklepie Google Play pod przykrywką rozwiązań antywirusowych. Złośliwe oprogramowanie, znane jako „RekinbotKradnie dane uwierzytelniające i informacje bankowe użytkowników Androida. ten Rekinbot zachęca ofiary do umieszczania swoich danych uwierzytelniających w oknach, które naśladują formularze wprowadzania danych uwierzytelniających. Gdy użytkownik wprowadza tam swoje dane, zhakowane dane są wysyłane na złośliwy serwer. TEN CPR odkryli, że twórcy złośliwego oprogramowania wdrożyli funkcję geolokalizacji, która ignoruje użytkowników urządzeń w Chiny, Indie, Rumunia, Rosja, Ukraina czy Białoruś.
Sześć złośliwych aplikacji
Cztery aplikacje pochodziły z ich trzech kont programistów Reszta Adamcik, Adelmio Pagnoto i Bingo Like Inc. Kiedy CPR sprawdziło historię tych kont, okazało się, że dwa z nich były aktywne jesienią 2021 r. Niektóre aplikacje połączone z tymi kontami zostały usunięte z Google Play, ale nadal istnieją na nieformalnych rynkach. Może to oznaczać, że osoba stojąca za aplikacjami próbuje pozostać „poza radarem”, jednocześnie angażując się w złośliwą aktywność.
Ofiary
CPR był w stanie zbierać statystyki przez tydzień. W tym okresie naliczył ponad 1.000 ofiar IP. Każdego dnia liczba ofiar wzrastała o około 100. Według jego statystyk Google play, sześć szkodliwych aplikacji wykrytych przez CPR zostało pobranych ponad 11.000 XNUMX razy. Większość ofiar znajduje się w Wielkiej Brytanii i we Włoszech.
Wykres 2% ofiar na kraj
Metodologia ataku
- Zmotywować użytkownika do przyznania praw dostępu do aplikacji
- Następnie złośliwe oprogramowanie przejmuje kontrolę nad dużą częścią urządzenia ofiary
- Osoby podejmujące zagrożenia mogą również wysyłać do ofiar alerty push zawierające złośliwe linki
Szczegóły ataku
CPR nie ma wystarczających danych, aby przypisać odpowiedzialność do określonej lokalizacji. Możemy założyć, że autorzy szkodliwego oprogramowania mówią po rosyjsku. Ponadto złośliwe oprogramowanie nie będzie wykonywać swojej złośliwej funkcjonalności, jeśli urządzenie znajduje się lokalnie w Chinach, Indiach, Rumunii, Rosji, Ukrainie lub Białorusi.
Ogłaszamy odpowiedzialnie
Natychmiast po zlokalizowaniu tych aplikacji, które rozprzestrzeniają Sharkbota, CPR ogłosiło swoje wyniki Google. Po przejrzeniu aplikacji Google przystąpił do trwałego usunięcia tych aplikacji ze sklepu Google Play. Tego samego dnia, w którym resuscytacja krążeniowo-oddechowa zgłosiła wyniki do Google, zespół NCC opublikowany osobne badanie dla Sharkbota, powołujące się na jedną ze złośliwych aplikacji.
Jego komentarz Aleksander Chailytko, Cyber Security, Research & Innovation Manager, Check Point Software:
Myślę, że wszyscy użytkownicy Androida powinni wiedzieć, że muszą być bardzo ostrożni przed pobraniem jakiegokolwiek rozwiązania antywirusowego ze Sklepu Play. To może być Sharkbot.
Wskazówki dotyczące bezpieczeństwa dla użytkowników Androida
- Instaluj aplikacje tylko od zaufanych i zweryfikowanych wydawców.
- Jeśli zobaczysz aplikację od nowego wydawcy, poszukaj aplikacji od zaufanego.
- Zgłaszaj do Google wszelkie pozornie podejrzane aplikacje, które napotkasz.
Nie zapomnij tego przestrzegać Xiaomi-miui.gr w wiadomości Google być natychmiast informowanym o wszystkich naszych nowych artykułach! Jeśli korzystasz z czytnika RSS, możesz również dodać naszą stronę do swojej listy, klikając ten link >> https://news.xiaomi-miui.gr/feed/gn
Śledź nas na Telegram abyś jako pierwszy dowiadywał się o każdej naszej wiadomości!