Изтеглиха от Google Play приложение за фенерче, крадящо данни

Макар и Google да осъществява строг контрол над приложенията в софтуерния магазин на Android, не е рядкост в Play да попадне и зловредна програма. За поредната изхвърлена от магазина програма алармират ESET. Става дума отново за приложение за фенерче, което е престояло повече от седмица в Google Play – качено е на 30-ти март и е свалено на 10.04. – след като ESET алармира Google за него.

Вероятно една от основните причини, зловредният характер на Flashlight LED Widget да не бъде регистрирано още при въвеждането му в магазина е, че за разлика от други троянски програми, в които присъстват статично зададени възможности за кражба на данни, неговите функционалности биват динамично задавани.

Trojan.Android/Charger.B (по дефиниции от антивирусната база на словашката компания)всъщност изпълнява рекламираните си функционалности, но освен това той е дистанционно контролиран и краде данни, свързани с банкиране на притежателите на устройството. По зададени команди, приложението има способност да представя екран, имитиращ легитимни приложения, да заключва инфектираните приложения, да пресича есемес съобщения и да показва фалшиви нотификации, като преодолява 2FA защитата, предлагана от институциите, с които потребителя банкира. Зловредната програма засяга всички версии на Android и успява да си присвои HTML кода на други инсталирани приложения, които присъстват на устройството, представяйки фалшив екран над техния, след като собственика на устройството ги е стартирал. Независимо от сравнително краткия живот на приложението в Google Play, троянската програма е успяла да зарази 5000 устройства, предават специалистите от компанията.

При инсталацията си, приложението изисква администраторски права, а след това успешно скрива иконата си. Зловредният код е криптиран в APK файла, което успешно преодолява проверката на защитните механизми. При стартиране на програмата, информацията бива декриптирана и фенерчето започва да „осветява“ и краде потребителската информация. Първоначално то изпраща сигнал на контролния сървър, за да го уведоми за инфектирането на жертвата и регистрацията на устройството, изпраща данни за устройството, инсталираните приложения и даже снимка на притежателя на устройството. Ако жертвата се намира в Русия, Украйна или Беларус, дейността на приложението е прекратена, което навежда на мисълта, че авторите на зловредната програма са с произход именно от някоя от споменатите държави. Вероятно, пишат ESET, това се прави с цел да избегнат съдебна отговорност в родните си страни. Ако потребителят има банкираща апликация, инсталирана на устройството си, при стартирането ѝ, троянската програма успешно заменя оригиналния екран на приложението с негов фалшив клонинг, а потребителят се вписва с данните си за вход в банковото приложение, изпращайки успешно тази информация на престъпниците. Самото зловредно приложение не преследва само банккова информация, като има възможност да представи фалшив екран за вписване и в социални услуги, като Facebook, WhatsApp, Instagram, както и в Google Play.

Що се отнася до заключващата му функционалност, то от ESET предполагат, че целта ѝ е предотвратяване на евентуално прекратяване на процеса по предаване на данните, откраднати от устройството. Освен така, приложението е защитено добре и премахването му не е просто. Все пак, влизането в „безопасен режим“ (Safe Mode) позволява свалянето му на администраторски права и деинсталирането му, както е и показано на видеото по-горе. Заплахата е вариант на открита по-рано тази година заплаха.

Какво може да направите, за да не станете жертва на подобен род зловредни приложения. Бдителността в случая е най-добрия ви съюзник. Макар и в случая да не е валидно, не инсталирайте апликации от магазини различни от официалния. Ако приложения изисква права, които не би трябвало да има, както в случая – приложение за фенерче, изискващо пълни администраторски права, не му ги давайте. Макар и не панацея, вижте броя на инсталациите, съветват ESET, както и коментарите на потребителите, свалили приложението. Разбира се последното – това за коментарите – не звучи толкова надеждно, тъй като авторите на приложението или хора, свързани с тях, може да са писали отзиви, но все пак може би и това не е чак толкова лоша идея.

388 total views, 4 views today

Напишете коментар