Η Check Point Onderzoek (reanimatie) heeft zes toepassingen gedetecteerd in Play Store van Google die malware verspreidden door zich voor te doen als antivirusoplossingen.
Γbekend als haaienbot, malware steelt inloggegevens en bankgegevens. Tijdens haar onderzoek heeft de CPR overgeteld 1.000 unieke IP's adressen van geïnfecteerde apparaten, voornamelijk in het Verenigd Koninkrijk en Italië. Zijn statistieken Google Play Store onthulde dat de kwaadaardige applicaties meer dan 11.000 keer.
De haaienbot lokt zijn slachtoffers door middel van waarschuwingen duwen en gebruikers te misleiden om inloggegevens in te voeren in omgevingen die formulieren voor gegevensinvoer nabootsen. DE CPR vermoedt dat de dreiging Russisch spreekt en waarschuwt Android-gebruikers over de hele wereld om extra voorzichtig te zijn voordat ze antivirusoplossingen downloaden op Play Store.
- De 62% van de slachtoffers werd gevonden in Italië, 36% in het Verenigd Koninkrijk, 2% in andere landen
- Dreigingsoperators hebben geografische omheining geïmplementeerd, die apparaatgebruikers in China, India, Roemenië, Rusland, Oekraïne en Wit-Rusland negeert
- Reanimatie meldde onmiddellijk de haar bevindingen op Google, die de kwaadaardige toepassingen heeft verwijderd
Η Check Point Onderzoek (reanimatie) Hij ontdekte zes toepassingen die bankmalware verspreidde in de Google Play Store, vermomd als antivirusoplossingen. Malware, bekend als "haaienbotSteelt inloggegevens en bankgegevens van Android-gebruikers. De haaienbot verleidt zijn slachtoffers om hun inloggegevens in te voeren in vensters die formulieren voor het invoeren van inloggegevens nabootsen. Wanneer een gebruiker zijn gegevens daar invoert, worden de gecompromitteerde gegevens naar een kwaadwillende server gestuurd. DE CPR ontdekte dat de makers van malware een geolocatiefunctie hadden geïmplementeerd die apparaatgebruikers negeert in de China, India, Roemenië, Rusland, Oekraïne of Wit-Rusland.
De zes kwaadaardige toepassingen
Vier van de applicaties kwamen van hun drie ontwikkelaarsaccounts Rest Adamcik, Adelmio Pagnotto en Bingo Like Inc. Toen CPR de geschiedenis van deze accounts controleerde, ontdekten ze dat er twee actief waren in het najaar van 2021. Sommige apps die aan deze accounts waren gekoppeld, zijn verwijderd van Google Play, maar bestaan nog steeds in informele markten. Dit kan betekenen dat de persoon achter de applicaties "onder de radar" probeert te blijven terwijl hij zich nog steeds bezighoudt met kwaadaardige activiteiten.
De slachtoffers
CPR kon een week lang statistieken verzamelen. In deze periode telde hij meer dan 1.000 IP-slachtoffers. Elke dag nam het aantal slachtoffers met ongeveer 100 toe. Volgens zijn statistieken Google Play, werden de zes kwaadaardige applicaties die door CPR werden gedetecteerd, meer dan 11.000 keer gedownload. De meeste slachtoffers bevinden zich in het Verenigd Koninkrijk en Italië.
Figuur 2.% slachtoffers per land
De aanvalsmethodiek
- Motiveer de gebruiker om toegangsrechten te verlenen aan een applicatie
- Daarna krijgt de malware controle over een groot deel van het apparaat van het slachtoffer
- Bedreigingen kunnen ook pushmeldingen sturen naar slachtoffers die kwaadaardige links bevatten
Details van de aanval
CPR beschikt niet over voldoende gegevens om de verantwoordelijkheid toe te wijzen aan een specifieke locatie. We kunnen aannemen dat de malware-auteurs Russisch spreken. Bovendien zal de malware zijn kwaadaardige functionaliteit niet uitvoeren als het apparaat zich lokaal in China, India, Roemenië, Rusland, Oekraïne of Wit-Rusland bevindt.
We kondigen verantwoord aan
Onmiddellijk na het lokaliseren van deze applicaties die Sharkbot verspreiden, maakte CPR zijn bevindingen bekend aan Google. Na beoordeling van de applicaties is Google doorgegaan met het permanent verwijderen van deze applicaties uit de Google Play Store. Op dezelfde dag dat CPR de bevindingen rapporteerde aan Google, het NCC-team gepubliceerd een apart onderzoek voor Sharkbot, waarbij een van de kwaadaardige applicaties wordt genoemd.
zijn commentaar Alexander Chailytko, Cyber Security, Research & Innovation Manager, Check Point Software:
Ik denk dat het belangrijk is voor alle Android-gebruikers om te weten dat ze heel voorzichtig moeten zijn voordat ze een antivirusoplossing uit de Play Store downloaden. Het zou Sharkbot kunnen zijn.
Beveiligingstips voor Android-gebruikers
- Installeer alleen applicaties van vertrouwde en geverifieerde uitgevers.
- Als je een applicatie van een nieuwe uitgever ziet, zoek er dan een van een vertrouwde.
- Meld aan Google schijnbaar verdachte toepassingen die u tegenkomt.
Vergeet het niet te volgen Xiaomi-miui.gr bij Google Nieuws om direct op de hoogte te zijn van al onze nieuwe artikelen! U kunt ook, als u een RSS-lezer gebruikt, onze pagina aan uw lijst toevoegen door simpelweg deze link te volgen >> https://news.xiaomi-miui.gr/feed/gn
Volg ons op Telegram zodat u als eerste op de hoogte bent van al ons nieuws!