Сегодня вторник, 18.05.2021: публикаций: 45365
30.04.2021 13:14
Новости.
Просмотров всего: 10416; сегодня: 98.

Новые «умные» приложения для мошенничества в Google Play

Новые «умные» приложения для мошенничества в Google Play

В магазин Google Play проникла новая волна мошеннических приложений, нацеленная на пользователей Android в Юго-Западной Азии и на Аравийском полуострове – было уже более 700 000 скачиваний, прежде чем McAfee Mobile Research обнаружила их, и совместно с Google приступили к их удалению.

Вредоносные программы встроены в фоторедакторы, обои, головоломки, оболочки клавиатуры и другие приложения. Вредоносные программы перехватывают уведомления о SMS-сообщениях, а затем совершают несанкционированные покупки. Легальные приложения перед тем, как попасть в Google Play, проходят процесс проверки, а мошеннические приложения попали в магазин, отправив на проверку «чистую» версию приложения, а вредоносный код внедряется туда после обновления.

McAfee Mobile Security определяет эту угрозу как Android/Etinu и предупреждает мобильных пользователей, что есть угроза при использовании данного приложения. Команда McAfee Mobile Research продолжает отслеживать эту угрозу, и сотрудничает с Google по удалению этих и других вредоносных приложений из Google Play.

Технический анализ

Встроенное в эти приложения вредоносное ПО использует динамическую загрузку кода. Зашифрованные данные вредоносного ПО появляются в папке, связанной с приложением под именами «cache.bin», «settings.bin», «data.droid» или безобидными файлами «.png».

Скрытый вредоносный код в основном .apk приложения открывает файл «1.png» в папке assets, расшифровывает его в «loader.dex», а затем загружает измененный .dex. «1.png» зашифрован с использованием RC4 с именем пакета в качестве ключа. Первая полезная нагрузка создает запрос HTTP POST к серверу C2.

Интересно, что эта вредоносная программа использует серверы управления ключами. Он запрашивает у серверов ключи, и сервер возвращает ключ как значение «s» JSON. Также у этой вредоносной программы есть функция самообновления. Когда сервер отвечает значением «URL», содержимое URL используется вместо «2.png». Однако серверы не всегда отвечают на запрос или возвращают секретный ключ.

Как всегда, самые вредоносные функции проявляются на финальной стадии. Вредоносная программа захватывает прослушиватель уведомлений для кражи входящих SMS-сообщений, как это делает вредоносная программа Android Joker , без разрешения на чтение SMS. Как по цепочке вредоносная программа затем передает объект уведомления на финальную стадию. Когда уведомление приходит из пакета SMS по умолчанию, сообщение, наконец, отправляется с использованием интерфейса JavaScript WebView.

Исследователи пришли к выводу, что мошенники могли получать сведения об операторе связи пользователя, номере телефона, SMS-сообщениях, IP-адресе, стране и др.

Будут ли подобные угрозы в будущем?

Мы ожидаем, что угрозы, использующие функцию прослушивания уведомлений, будут продолжать развиваться. Команда McAfee Mobile Research продолжает отслеживать эти угрозы и защищать клиентов, анализируя потенциальные вредоносные программы и работая с магазинами приложений для их удаления.  Однако важно обращать особое внимание на приложения, которые запрашивают разрешения, связанные с SMS и прослушиванием уведомлений. Настоящие приложения для обработки фотографий или установки обоев просто не будут запрашивать их, потому что они не нужны для их запуска. Если запрос кажется подозрительным, не принимайте его.

Сферы деятельности: Безопасность, Информтехнологии, связь, Интернет
Сайты субъектов РФ: Санкт-Петербург, Севастополь
Сайты регионов мира: Азия Южная, Африка

Ньюсмейкер: McAfee — 33 публикации. Вы можете направить ньюсмейкеру обращение, заявку
Поделиться:
Ваше мнение
Есть ли у Вас домашние питомцы?
 Кошка
 Собака
 Птицы
 Грызуны
 Рыбки
 Пресмыкающиеся
 Другое
 Нет
Предложите опрос

Интересно:

Школьники Костромской области прокачали цифровые навыки
18.05.2021 13:54 Мероприятия
Школьники Костромской области прокачали цифровые навыки
17 мая 2021 г. завершилась дополнительная образовательная программа для молодежи «Программирование на Python. Start», организованная по инициативе Благотворительного фонда «Система» в рамках образовательной программы «Лифт в будущее» в Республике Башкортостан, Костромской и Ростовской областях. За...
Пионерской организации - 99 лет!
18.05.2021 13:18 Мероприятия
Пионерской организации - 99 лет!
Художественное объединение ARTель «Болт» представляет социально-реалистический проект «Измельчали», посвящённый дню рождения Всесоюзной пионерской организации. Акция пройдет в выставочном зале библиотеки им. А.П. Чехова. ARTель «Болт» возобновит традицию Дня пионерии, во время которого в...
БФ «Система» поделилась идеями эффективного взаимодействиями с вузами
18.05.2021 12:54 Мероприятия
БФ «Система» поделилась идеями эффективного взаимодействиями с вузами
Московский международный салон образования с 17 по 23 мая проводит масштабный всероссийский проект «Неделя образования – 2021», соорганизаторами и участниками которого являются игроки рынка образования, в том числе АНО «Россия - страна возможностей». 17 мая Благотворительный фонд «Система» принял...
Школьники из Башкортостана прокачали цифровые навыки с Лифт в будущее
18.05.2021 11:54 Новости
Школьники из Башкортостана прокачали цифровые навыки с Лифт в будущее
17 мая 2021 г. завершилась дополнительная образовательная программа для молодежи «Программирование на Python. Start», организованная по инициативе Благотворительного фонда «Система» в рамках образовательной программы «Лифт в будущее» в Республике Башкортостан, Костромской и Ростовской областях. За...
«Великая миграция» на Android
14.05.2021 20:09 Интервью, мнения
«Великая миграция» на Android
Даниэль Домбах (Daniel Dombach), директор по решениям в сфере транспорта и логистики в компании Zebra Technologies поделился экспертным мнением на тему системного подхода к модернизации складских операций, рассказал о возможностях перевода складских систем на портативные устройства корпоративного...