Još jedan Android malware se infiltrirao u Google Play Store
Istraživači kompanije Trend Micro otkrili su MobSTSPY malware, namenjen Android uređajima koji prikuplja informacije o lokaciji korisnika, komunikacione logove, krade fajlove i podatke o njihovim nalozima. Prema njihovim navodima, napadnuto je najmanje 100.000 korisnika širom sveta, nakon što se ovaj malware infiltrirao u Play Store.
To je urađeno preko nekoliko zaraženih aplikacija. „Nosioci“ malware-a uključuju i popularne igre, a među najviše preuzimanim su Flappy Bird, kao i neke njegove varijacije (Flappy Birr Dog). Među drugim aplikacijama, po broju korisnika koje su zarazili, izdvojili su se Flashlight i različiti emulatori.
Prve verzije otkrivenih aplikacija uploadovane su na Google Play bez aktivnog malicioznog koda i njihov zadatak bio je da se stvori infrastruktura za napade koji će se desiti kasnije. Aktiviranje maliciozne verzije je najverovatnije bilo mesecima kasnije, kada je već postojala dovoljno velika baza korisnika pomenutih aplikacija.
Barat Mistri, Principal Security Strategist u kompaniji Trend Micro naveo je da je ovakav scenario moguć jer Google ima rigoroznu proveru novih aplikacija, ali nakon nekoliko njihovih update-a, kada se pokaže da u njima nema malicioznog koda, striktnost provere značajno opada. Jednom kada aplikacija dobije kredibilitet i kada je dobro prihvaćena od strane korisnika, mnogo je lakše „provući“ malicioznu verziju na Google Play.
Nakon instalacije, MobSTSPY proverava dostupnost mreže na zaraženom uređaju, nakon čega se konektuje na komandni i kontrolni server, gde šalje informacije o uređaju. Napadač može da aktivira set različitih malicioznih aktivnosti, koje uključuju krađu SMS poruka, kontakt listi i različitih fajlova, pravljenja screenshot-a ekrana, snimanje zvuka, preuzimanje WhatsApp podataka…
Drugi način delovanja je aktiviranje phishing napada. Malware prikazuje lažne pop-up poruke sa popularnih sajtova, kao što su Facebook ili Google, tražeći od korisnika da se loguju na svoj nalog. Nakon upisa podataka, korisnici dobijaju poruku da logovanje nije uspelo, nakon čega pop-up nestaje, zajedno sa ukradenim korisničkim imenima i lozinkama.
Istraživači iz Trend Micro-a naveli su da je malware otkriven u 196 država, a da je skoro trećina žrtava iz Indije, što može da bude pokazatelj odakle napadači deluju.
Sve aplikacije u kojima je otkriven MobSTSPY – Flappy Birr Dog, Flapy Bird, FlashLight, HZPermis Pro Arabe, Win7imulator i Win7Launcher uklonjene su sa Google Play-a.
Izvor: ZDNet