Сегодня воскресенье, 13.06.2021: публикаций: 45423
30.04.2021 13:14
Новости.
Просмотров всего: 13590; сегодня: 55.

Новые «умные» приложения для мошенничества в Google Play

Новые «умные» приложения для мошенничества в Google Play

В магазин Google Play проникла новая волна мошеннических приложений, нацеленная на пользователей Android в Юго-Западной Азии и на Аравийском полуострове – было уже более 700 000 скачиваний, прежде чем McAfee Mobile Research обнаружила их, и совместно с Google приступили к их удалению.

Вредоносные программы встроены в фоторедакторы, обои, головоломки, оболочки клавиатуры и другие приложения. Вредоносные программы перехватывают уведомления о SMS-сообщениях, а затем совершают несанкционированные покупки. Легальные приложения перед тем, как попасть в Google Play, проходят процесс проверки, а мошеннические приложения попали в магазин, отправив на проверку «чистую» версию приложения, а вредоносный код внедряется туда после обновления.

McAfee Mobile Security определяет эту угрозу как Android/Etinu и предупреждает мобильных пользователей, что есть угроза при использовании данного приложения. Команда McAfee Mobile Research продолжает отслеживать эту угрозу, и сотрудничает с Google по удалению этих и других вредоносных приложений из Google Play.

Технический анализ

Встроенное в эти приложения вредоносное ПО использует динамическую загрузку кода. Зашифрованные данные вредоносного ПО появляются в папке, связанной с приложением под именами «cache.bin», «settings.bin», «data.droid» или безобидными файлами «.png».

Скрытый вредоносный код в основном .apk приложения открывает файл «1.png» в папке assets, расшифровывает его в «loader.dex», а затем загружает измененный .dex. «1.png» зашифрован с использованием RC4 с именем пакета в качестве ключа. Первая полезная нагрузка создает запрос HTTP POST к серверу C2.

Интересно, что эта вредоносная программа использует серверы управления ключами. Он запрашивает у серверов ключи, и сервер возвращает ключ как значение «s» JSON. Также у этой вредоносной программы есть функция самообновления. Когда сервер отвечает значением «URL», содержимое URL используется вместо «2.png». Однако серверы не всегда отвечают на запрос или возвращают секретный ключ.

Как всегда, самые вредоносные функции проявляются на финальной стадии. Вредоносная программа захватывает прослушиватель уведомлений для кражи входящих SMS-сообщений, как это делает вредоносная программа Android Joker , без разрешения на чтение SMS. Как по цепочке вредоносная программа затем передает объект уведомления на финальную стадию. Когда уведомление приходит из пакета SMS по умолчанию, сообщение, наконец, отправляется с использованием интерфейса JavaScript WebView.

Исследователи пришли к выводу, что мошенники могли получать сведения об операторе связи пользователя, номере телефона, SMS-сообщениях, IP-адресе, стране и др.

Будут ли подобные угрозы в будущем?

Мы ожидаем, что угрозы, использующие функцию прослушивания уведомлений, будут продолжать развиваться. Команда McAfee Mobile Research продолжает отслеживать эти угрозы и защищать клиентов, анализируя потенциальные вредоносные программы и работая с магазинами приложений для их удаления.  Однако важно обращать особое внимание на приложения, которые запрашивают разрешения, связанные с SMS и прослушиванием уведомлений. Настоящие приложения для обработки фотографий или установки обоев просто не будут запрашивать их, потому что они не нужны для их запуска. Если запрос кажется подозрительным, не принимайте его.

Сферы деятельности: Безопасность, Информтехнологии, связь, Интернет
Сайты субъектов РФ: Санкт-Петербург, Севастополь
Сайты регионов мира: Азия Южная, Африка

Ньюсмейкер: McAfee — 33 публикации. Вы можете направить ньюсмейкеру обращение, заявку
Поделиться:
Ваше мнение
Есть ли у Вас домашние питомцы?
 Кошка
 Собака
 Птицы
 Грызуны
 Рыбки
 Пресмыкающиеся
 Другое
 Нет
Предложите опрос

Интересно:

В честь Дня России ОНФ в Мордовии поднял флаг на Сурском рубеже
11.06.2021 19:57 Мероприятия
В честь Дня России ОНФ в Мордовии поднял флаг на Сурском рубеже
В преддверии Дня России активисты регионального штаба Общероссийского народного фронта в Республике Мордовия провели торжественную церемонию поднятия государственного флага Российской Федерации на Сурском рубеже. На историческом месте, расположенном в Большеберезниковском районе, где в 1941-1942...
Господдержка и госзаказ прочно вошли в словарь МСБ
11.06.2021 16:53 Новости
Господдержка и госзаказ прочно вошли в словарь МСБ
Когда заходит разговор о поддержке малого и среднего бизнеса, обычно перечисляются льготы, предоставляемые государством. Но есть еще один механизм, который стал для небольших предприятий настоящим «окном возможностей», - это лояльный доступ к новым заказам. Точнее, к госзаказу. И на организованном...
Telegram 2021: аудитория, каналы, реклама
10.06.2021 16:33 Аналитика. Реклама
Telegram 2021: аудитория, каналы, реклама
Как дела у мессенджера после отмены блокировки, пандемии и резонансных событий во время американских выборов – команда Ex Libris собрала и проанализировала актуальные данные и цифры. В основу легли исследования TGstat, отчеты Global Digital и данные, которые Павел Дуров и команда Telegram...
Кубок мира, четыре Кубка Кремля по бальным танцам на паркете 17 июля
09.06.2021 21:39 Мероприятия
Кубок мира, четыре Кубка Кремля по бальным танцам на паркете 17 июля
17 июля Кремлевский дворец гостеприимно распахнет свои двери для проведения танцевального события с потрясающей, почти тридцатилетней, историей. Снова его инициатор, организатор и постоянный ведущий заслуженный деятель искусств России, президент Российского танцевального союза (РТС) Станислав Попов...
Самозанятые получат «ипотечные каникулы»
09.06.2021 15:47 Документы
Самозанятые получат «ипотечные каникулы»
В третьем чтении принят закон, расширяющий список документов, с помощью которых самозанятые смогут уменьшить или приостановить выплаты ипотечного кредита, сообщает пресс-служба Госдумы. Государственная Дума приняла закон, направленный на обеспечение равных условий в предоставлении...