Antywirus na Androida może być złośliwym oprogramowaniem.
Eksperci ostrzegają, że niebezpieczne złośliwe oprogramowanie na Androida przedostało się do Sklepu Play
(Źródło obrazu: Google)
W sklepie Google Play wykryto trojana bankowego zdolnego do kradzieży danych logowania, przesyłania pieniędzy z zaatakowanego konta, przechwytywania wiadomości SMS, ukrywania powiadomień i szeregu innych nieprzyjemnych rzeczy.
Badacze z dwóch firm zajmujących się cyberbezpieczeństwem, najpierw Cleafy, a później NCC Group, zauważyli bardzo niebezpiecznego SharkBota, podszywającego się pod aplikację antywirusową o nazwie „Antivirus, Super Cleaner”.
Aplikacja została już pobrana i zhakowana na ponad tysiącu urządzeń, ale wygląda na to, że Google ją teraz usunął.
Nadużycie systemów automatycznego transferu
Sklep Play jest oficjalnym repozytorium aplikacji Google dla ekosystemu Androida i jest ogólnie postrzegany jako bezpieczny – jednak czasami złośliwa aplikacja przedostaje się przez zabezpieczenia Google. Sposób, w jaki aplikacja trafiła do Sklepu Play, nie został jeszcze szczegółowo wyjaśniony, ale naukowcy stwierdzili, że początkowa aplikacja dropper zawierała „lekki” wariant złośliwego oprogramowania, co mogło pomóc jej uniknąć wykrycia.
SharkBot jest uważany za niezwykle niebezpieczny, między innymi dlatego, że jest w stanie przesyłać pieniądze za pośrednictwem systemów automatycznego transferu (ATS) poprzez symulowanie dotknięć, kliknięć i naciśnięć przycisków na zaatakowanych punktach końcowych.
Badacze twierdzą, że cyberprzestępcy stojący za SharkBot bardzo rzadko korzystają z tej funkcji.
Zamiast tego koncentrują się na kradzieży danych uwierzytelniających (pokazując fałszywą witrynę logowania, gdy tylko wykryją otwarcie oficjalnej aplikacji bankowej, lub rejestrując zdarzenia dostępności), przechwytywaniu i ukrywaniu wiadomości SMS (prawdopodobnie w celu ukrycia powiadomień SMS o pomyślnym zalogowaniu się do konto bankowe) oraz zdalne kontrolowanie zhakowanego urządzenia za pośrednictwem usług ułatwień dostępu. Wszystko, czego SharkBot musi wykonać, to uzyskać uprawnienia dostępu.
SharkBot wydaje się również nadużywać funkcji „Bezpośredniej odpowiedzi” dostępnej w systemie Android. Ta funkcja umożliwia użytkownikom odpowiadanie na wiadomość bezpośrednio z menu rozwijanego powiadomień.
techradar
Eksperci ostrzegają, że niebezpieczne złośliwe oprogramowanie na Androida przedostało się do Sklepu Play
(Źródło obrazu: Google)
W sklepie Google Play wykryto trojana bankowego zdolnego do kradzieży danych logowania, przesyłania pieniędzy z zaatakowanego konta, przechwytywania wiadomości SMS, ukrywania powiadomień i szeregu innych nieprzyjemnych rzeczy.
Badacze z dwóch firm zajmujących się cyberbezpieczeństwem, najpierw Cleafy, a później NCC Group, zauważyli bardzo niebezpiecznego SharkBota, podszywającego się pod aplikację antywirusową o nazwie „Antivirus, Super Cleaner”.
Aplikacja została już pobrana i zhakowana na ponad tysiącu urządzeń, ale wygląda na to, że Google ją teraz usunął.
Nadużycie systemów automatycznego transferu
Sklep Play jest oficjalnym repozytorium aplikacji Google dla ekosystemu Androida i jest ogólnie postrzegany jako bezpieczny – jednak czasami złośliwa aplikacja przedostaje się przez zabezpieczenia Google. Sposób, w jaki aplikacja trafiła do Sklepu Play, nie został jeszcze szczegółowo wyjaśniony, ale naukowcy stwierdzili, że początkowa aplikacja dropper zawierała „lekki” wariant złośliwego oprogramowania, co mogło pomóc jej uniknąć wykrycia.
SharkBot jest uważany za niezwykle niebezpieczny, między innymi dlatego, że jest w stanie przesyłać pieniądze za pośrednictwem systemów automatycznego transferu (ATS) poprzez symulowanie dotknięć, kliknięć i naciśnięć przycisków na zaatakowanych punktach końcowych.
Badacze twierdzą, że cyberprzestępcy stojący za SharkBot bardzo rzadko korzystają z tej funkcji.
Zamiast tego koncentrują się na kradzieży danych uwierzytelniających (pokazując fałszywą witrynę logowania, gdy tylko wykryją otwarcie oficjalnej aplikacji bankowej, lub rejestrując zdarzenia dostępności), przechwytywaniu i ukrywaniu wiadomości SMS (prawdopodobnie w celu ukrycia powiadomień SMS o pomyślnym zalogowaniu się do konto bankowe) oraz zdalne kontrolowanie zhakowanego urządzenia za pośrednictwem usług ułatwień dostępu. Wszystko, czego SharkBot musi wykonać, to uzyskać uprawnienia dostępu.
SharkBot wydaje się również nadużywać funkcji „Bezpośredniej odpowiedzi” dostępnej w systemie Android. Ta funkcja umożliwia użytkownikom odpowiadanie na wiadomość bezpośrednio z menu rozwijanego powiadomień.
techradar