Η Check Point Research (CPR) har opdaget seks ansøgninger i Play butik af Google, der spreder malware ved at foregive at være antivirusløsninger.
Γkendt som hajbot, malware stjæler legitimationsoplysninger og bankoplysninger. I løbet af hendes forskning har CPR talt over 1.000 unikke IP'er adresser på inficerede enheder, hovedsageligt i Storbritannien og Italien. Dog hans statistik Google Play Store afslørede, at de ondsindede applikationer blev downloadet mere end 11.000 gange.
det hajbot lokker sine ofre gennem alarmer skub og narre brugere til at indtaste legitimationsoplysninger i miljøer, der efterligner dataindtastningsformer. DET CPR har mistanke om, at truslen er russisktalende og advarer Android-brugere over hele verden om at være ekstra forsigtige, før de downloader antivirusløsninger på Play butik.
- det 62 % af ofrene blev fundet i Italien, 36 % i Storbritannien, 2% i andre lande
- Trusseloperatører har implementeret geografisk hegn, som ignorerer enhedsbrugere i Kina, Indien, Rumænien, Rusland, Ukraine og Hviderusland
- CPR rapporterede straks hendes resultater på Google, som fjernede de ondsindede programmer
Η Check Point Research (CPR) Han opdagede seks ansøgninger som spreder bankmalware i Google Play Butik forklædt som antivirusløsninger. Malware, kendt som "hajbotStjæler legitimationsoplysninger og bankoplysninger fra Android-brugere. Det hajbot lokker sine ofre til at indsætte deres legitimationsoplysninger i vinduer, der efterligner formularer til legitimationsindtastning. Når en bruger indtaster deres data der, sendes de kompromitterede data til en ondsindet server. DET CPR fandt ud af, at malware-skabere havde implementeret en geolokationsfunktion, der ignorerer enhedsbrugere i Kina, Indien, Rumænien, Rusland, Ukraine eller Hviderusland.
De seks ondsindede applikationer
Fire af ansøgningerne kom fra deres tre udviklerkonti Resten Adamcik, Adelmio Pagnotto og Bingo Like Inc. Da CPR tjekkede historikken for disse konti, fandt de ud af, at to af dem var aktive i efteråret 2021. Nogle af de apps, der var knyttet til disse konti, blev fjernet fra Google Play, men eksisterer stadig på uformelle markeder. Dette kan betyde, at personen bag applikationerne forsøger at holde sig "under radaren", mens han stadig engagerer sig i ondsindet aktivitet.
Ofrene
CPR var i stand til at indsamle statistik i en uge. I denne periode talte han mere end 1.000 IP-ofre. Hver dag steg antallet af ofre med omkring 100. Ifølge hans statistikker Google Play, blev de seks ondsindede applikationer opdaget af CPR downloadet mere end 11.000 gange. De fleste af ofrene er i Storbritannien og Italien.
Figur 2.% af ofrene pr. land
Angrebsmetoden
- Motivere brugeren til at give adgangsrettigheder til en applikation
- Derefter får malwaren kontrol over en stor del af ofrets enhed
- Trusseltagere kan også sende push-alarmer til ofre, der indeholder ondsindede links
Detaljer om angrebet
CPR har ikke nok data til at henføre ansvaret til et bestemt sted. Vi kan antage, at malware-forfatterne taler russisk. Derudover vil malwaren ikke udføre sin ondsindede funktionalitet, hvis enheden er lokalt placeret i Kina, Indien, Rumænien, Rusland, Ukraine eller Hviderusland.
Vi melder ansvarligt ud
Umiddelbart efter at have fundet disse applikationer, der spredte Sharkbot, annoncerede CPR sine resultater til Google. Efter at have gennemgået applikationerne fortsatte Google med at fjerne disse applikationer permanent fra Google Play Butik. Samme dag som CPR rapporterede resultaterne til Google, NCC-teamet offentliggjort en separat undersøgelse for Sharkbot, der citerer en af de ondsindede applikationer.
Hans kommentar Alexander Chailytko, Cyber Security, Research & Innovation Manager, Check Point Software:
Jeg tror, det er vigtigt for alle Android-brugere at vide, at de skal være meget forsigtige, før de downloader en antivirusløsning fra Play Butik. Det kunne være Sharkbot.
Sikkerhedstip til Android-brugere
- Installer kun applikationer fra betroede og verificerede udgivere.
- Hvis du ser en ansøgning fra en ny udgiver, skal du kigge efter en fra en betroet udgiver.
- Rapporter til Google alle tilsyneladende mistænkelige applikationer, du støder på.
Glem ikke at følge den Xiaomi-miui.gr på Google Nyheder at blive informeret med det samme om alle vores nye artikler! Du kan også, hvis du bruger RSS-læser, tilføje vores side til din liste, blot ved at følge dette link >> https://news.xiaomi-miui.gr/feed/gn
Følg os på Telegram så du er den første til at lære alle vores nyheder!