Сегодня суббота, 19.06.2021: публикаций: 45431
30.04.2021 13:14
Новости.
Просмотров всего: 14036; сегодня: 20.

Новые «умные» приложения для мошенничества в Google Play

Новые «умные» приложения для мошенничества в Google Play

В магазин Google Play проникла новая волна мошеннических приложений, нацеленная на пользователей Android в Юго-Западной Азии и на Аравийском полуострове – было уже более 700 000 скачиваний, прежде чем McAfee Mobile Research обнаружила их, и совместно с Google приступили к их удалению.

Вредоносные программы встроены в фоторедакторы, обои, головоломки, оболочки клавиатуры и другие приложения. Вредоносные программы перехватывают уведомления о SMS-сообщениях, а затем совершают несанкционированные покупки. Легальные приложения перед тем, как попасть в Google Play, проходят процесс проверки, а мошеннические приложения попали в магазин, отправив на проверку «чистую» версию приложения, а вредоносный код внедряется туда после обновления.

McAfee Mobile Security определяет эту угрозу как Android/Etinu и предупреждает мобильных пользователей, что есть угроза при использовании данного приложения. Команда McAfee Mobile Research продолжает отслеживать эту угрозу, и сотрудничает с Google по удалению этих и других вредоносных приложений из Google Play.

Технический анализ

Встроенное в эти приложения вредоносное ПО использует динамическую загрузку кода. Зашифрованные данные вредоносного ПО появляются в папке, связанной с приложением под именами «cache.bin», «settings.bin», «data.droid» или безобидными файлами «.png».

Скрытый вредоносный код в основном .apk приложения открывает файл «1.png» в папке assets, расшифровывает его в «loader.dex», а затем загружает измененный .dex. «1.png» зашифрован с использованием RC4 с именем пакета в качестве ключа. Первая полезная нагрузка создает запрос HTTP POST к серверу C2.

Интересно, что эта вредоносная программа использует серверы управления ключами. Он запрашивает у серверов ключи, и сервер возвращает ключ как значение «s» JSON. Также у этой вредоносной программы есть функция самообновления. Когда сервер отвечает значением «URL», содержимое URL используется вместо «2.png». Однако серверы не всегда отвечают на запрос или возвращают секретный ключ.

Как всегда, самые вредоносные функции проявляются на финальной стадии. Вредоносная программа захватывает прослушиватель уведомлений для кражи входящих SMS-сообщений, как это делает вредоносная программа Android Joker , без разрешения на чтение SMS. Как по цепочке вредоносная программа затем передает объект уведомления на финальную стадию. Когда уведомление приходит из пакета SMS по умолчанию, сообщение, наконец, отправляется с использованием интерфейса JavaScript WebView.

Исследователи пришли к выводу, что мошенники могли получать сведения об операторе связи пользователя, номере телефона, SMS-сообщениях, IP-адресе, стране и др.

Будут ли подобные угрозы в будущем?

Мы ожидаем, что угрозы, использующие функцию прослушивания уведомлений, будут продолжать развиваться. Команда McAfee Mobile Research продолжает отслеживать эти угрозы и защищать клиентов, анализируя потенциальные вредоносные программы и работая с магазинами приложений для их удаления.  Однако важно обращать особое внимание на приложения, которые запрашивают разрешения, связанные с SMS и прослушиванием уведомлений. Настоящие приложения для обработки фотографий или установки обоев просто не будут запрашивать их, потому что они не нужны для их запуска. Если запрос кажется подозрительным, не принимайте его.

Сферы деятельности: Безопасность, Информтехнологии, связь, Интернет
Сайты субъектов РФ: Санкт-Петербург, Севастополь
Сайты регионов мира: Азия Южная, Африка

Ньюсмейкер: McAfee — 33 публикации. Вы можете направить ньюсмейкеру обращение, заявку
Поделиться:
Ваше мнение
Как Вы относитесь к обязательной вацинации?
 За
 Против
 Затрудняюсь ответить
Предложите опрос

Интересно:

«СеллерМаркет» представил на ECOMExpo’21 собственное ИТ-решение
18.06.2021 12:15 Мероприятия
«СеллерМаркет» представил на ECOMExpo’21 собственное ИТ-решение
Единый личный кабинет продавца «LK.Market», позволяющий вести продажи сразу на более чем 30 маркетплейсах, представили на днях в Москве на ECOMExpo’21 (крупнейшая ежегодная выставка технологий для ecommerce и ритейла). Разработчиком продукта является татарстанская компания «СеллерМаркет»...
Цикл лекций «Адаптация: как мы реагируем на изменения»
17.06.2021 00:21 Мероприятия
Цикл лекций «Адаптация: как мы реагируем на изменения»
Цикл открытых лекций Московского института психоанализа «Адаптация: как мы реагируем на изменения».  Последний год заставил нас изменить не только привычки, но и отношение к различным аспектам  жизни. Стресс, связанный с пандемией; изменение привычного образа жизни; уход в...
В честь Дня России ОНФ в Мордовии поднял флаг на Сурском рубеже
11.06.2021 19:57 Мероприятия
В честь Дня России ОНФ в Мордовии поднял флаг на Сурском рубеже
В преддверии Дня России активисты регионального штаба Общероссийского народного фронта в Республике Мордовия провели торжественную церемонию поднятия государственного флага Российской Федерации на Сурском рубеже. На историческом месте, расположенном в Большеберезниковском районе, где в 1941-1942...
Господдержка и госзаказ прочно вошли в словарь МСБ
11.06.2021 16:53 Новости
Господдержка и госзаказ прочно вошли в словарь МСБ
Когда заходит разговор о поддержке малого и среднего бизнеса, обычно перечисляются льготы, предоставляемые государством. Но есть еще один механизм, который стал для небольших предприятий настоящим «окном возможностей», - это лояльный доступ к новым заказам. Точнее, к госзаказу. И на организованном...
Telegram 2021: аудитория, каналы, реклама
10.06.2021 16:33 Аналитика. Реклама
Telegram 2021: аудитория, каналы, реклама
Как дела у мессенджера после отмены блокировки, пандемии и резонансных событий во время американских выборов – команда Ex Libris собрала и проанализировала актуальные данные и цифры. В основу легли исследования TGstat, отчеты Global Digital и данные, которые Павел Дуров и команда Telegram...