Введите Ваш E-mail адрес и Вы будете первым, кто получит новые статьи.

Статьи

Банковские трояны продолжают появляться в Google Play

  1. Как они работают?
  2. Как оставаться в безопасности
  3. Показатели компромисса (IoCs)

Все вредоносные приложения были удалены из официального магазина Android, но не раньше, чем приложения были установлены почти 30 000 пользователей.

Авторы вредоносных программ продолжают проверять бдительность пользователей Android, крадя замаскированные трояны мобильного банкинга в магазине Google Play. Недавно мы проанализировали набор из 29 таких скрытых троянов, которые можно было найти в официальном магазине Android с августа до начала октября 2018 года. Они маскировались под бустеры и очистители устройств, диспетчеры батарей и даже приложения в гороскопе.

В отличие от все более распространенных вредоносных приложений, основанных исключительно на выдавать себя за законные финансовые учреждения и отображая поддельные экраны входа в систему, эти приложения относятся к категории сложных вредоносных программ для мобильного банкинга со сложной функциональностью и большим вниманием к скрытности.

Эти дистанционно управляемые трояны способны динамически нацеливаться на любые приложения, найденные на устройстве жертвы, с помощью специально разработанных фишинговых форм. Кроме того, они могут перехватывать и перенаправлять текстовые сообщения для обхода двухфакторной аутентификации на основе SMS, перехватывать журналы вызовов, а также загружать и устанавливать другие приложения на скомпрометированное устройство. Эти вредоносные приложения были загружены в основном под разными именами и формами разработчиков, но сходства кода и общий C & C-сервер предполагают, что приложения являются работой одного злоумышленника или группы.

Эти вредоносные приложения были загружены в основном под разными именами и формами разработчиков, но сходства кода и общий C & C-сервер предполагают, что приложения являются работой одного злоумышленника или группы

Рисунок 1 - Примеры банковских троянов, найденных в Google Play

Тем временем 29 официальных вредоносных приложений были удалены из официального магазина Android после того, как ESET и коллеги-исследователи уведомили Google о своей вредоносной природе. Однако до того, как их забрали из магазина, приложения установили почти 30 000 пользователей.

Как они работают?

После запуска приложения либо отображают ошибку, утверждая, что они были удалены из-за несовместимости с устройством жертвы, а затем продолжают скрывать себя от взгляда жертвы или предоставляют обещанную функциональность, например отображение гороскопов.

После запуска приложения либо отображают ошибку, утверждая, что они были удалены из-за несовместимости с устройством жертвы, а затем продолжают скрывать себя от взгляда жертвы или предоставляют обещанную функциональность, например отображение гороскопов

Рисунок 2 - Ложное сообщение об ошибке, отображаемое одним из этих троянов при запуске

Независимо от того, какое из предыдущих действий отображает одно из этих приложений, основная вредоносная функциональность скрыта в зашифрованной полезной нагрузке, расположенной в активах каждого приложения. Эта полезная нагрузка кодируется с использованием base64, а затем шифруется с помощью шифра RC4 с использованием жестко закодированного ключа. Первым этапом активности вредоносного ПО является дроппер, который изначально проверяет наличие эмулятора или песочницы. Если эти проверки не пройдены, он расшифровывает и удаляет загрузчик и полезную нагрузку, которая содержит фактическое банковское вредоносное ПО. Некоторые из проанализированных нами приложений содержали более одного этапа таких зашифрованных полезных данных.

Рисунок 3 - Проверка эмулятора

Функциональность окончательной полезной нагрузки заключается в том, чтобы олицетворять банковские приложения, установленные на устройстве жертвы, перехватывать и отправлять SMS-сообщения, а также загружать и устанавливать дополнительные приложения по выбору оператора. Наиболее важной особенностью является то, что вредоносная программа может динамически выдавать себя за любое приложение, установленное на взломанном устройстве. Это достигается путем получения HTML-кода приложений, установленных на устройстве, и использования этого кода для наложения законных приложений на поддельные формы после запуска законных приложений, что дает жертве очень мало шансов заметить, что что-то не так.

Как оставаться в безопасности

К счастью, эти конкретные банковские трояны (полный список можно найти в разделе IoC) не используют продвинутые приемы для обеспечения их устойчивости на уязвимых устройствах. Поэтому, если вы подозреваете, что установили какое-либо из этих приложений, вы можете просто удалить их в разделе «Настройки»> «Общие»> «Диспетчер приложений / Приложения».

Мы также советуем вам проверить свой банковский счет на наличие подозрительных транзакций и рассмотреть возможность изменения пароля / PIN-кода вашего интернет-банкинга.

Чтобы не стать жертвой банковских вредоносных программ, мы рекомендуем вам:

  • Загружать только приложения из Google Play; это не гарантирует, что приложение не является вредоносным, но такие приложения гораздо чаще встречаются в сторонних магазинах приложений, где их редко удаляют после обнаружения, в отличие от Google Play.
  • Перед загрузкой приложений из Google Play обязательно проверьте количество загрузок, рейтинги приложений и содержание отзывов.
  • Обратите внимание на то, какие разрешения вы предоставляете приложениям, которые вы устанавливаете
  • Постоянно обновляйте свое Android-устройство и используйте надежное решение для обеспечения безопасности мобильных устройств; Продукты ESET обнаруживают и блокируют эту угрозу как Android / TrojanDropper.Agent.CIQ.

Особая благодарность Николаос Крисаидос для привлечения некоторых из этих вредоносных приложений к нашему вниманию.

Показатели компромисса (IoCs)

App Имя Имя пакета Hash Устанавливает com.puredevlab.powermanager Power Manager 7C13ADEFC2CABD85AD8F486C3CBDB6379811A097 10+ Astro Plus com.astro.plus 24D2ED751A33BD965A01FA87D7A187D14D0B0849 0+ Master Cleaner - Booster CPU bnb.massclean.boost 101DA4333A26BC6D9DFEF6605E5D8D10206C0EB4 Master Clean 5000 + - Питание Booster mc.boostpower.lf E5DC8D4664167D61E5B4D83597965253A8B4CB3B 100+ супер подталкивания очиститель cpu.cleanpti.clo 33D59A70363857A0CE6857D201B764EF3E8194DD 500+ Super Fast уборщик super.dupclean.com E125AC53050CAFA5A930B210C8168EA9ED0FD6F1 500+ Ежедневный гороскоп для всех знаков зодиака ui.astrohoro.t2018 C3C45A7B3D3D2CB73A40C25BD4E83C9DA14F2DEA 100 + ежедневный гороскоп бесплатно - Гороскоп совместимости com.horochart.uk CD5817AB3C2E4AE6A18F239BDD51E0CC9D7F6E25 Усилитель телефона на 500+ - Clean Master 5B4FC5DEAEBF7DA079DD655C3 1,000+ Free Ежедневный гороскоп 2019 fr.dayy.horos 4E7F12F07D052E7D1EFD21CD323D8BAD9A79933B 50+ Free Гороскоп Plus - Астрология Интернет com.dailyhoroscope.free c0be22c44e5540322e0ffbf3a6fe18ce0968d3b5 1,000+ Телефон питания Booster pwr.boost.pro FCB8E568145AF2B6D8D29C0484417E51DD25717F 1,000+ Ультра Cleaner - Power Boost ua.cleanpower. увеличить CB37C8C44750874BA61F6F95E7A7C29073CB51DC 50+ Master Cleaner - Booster CPU bnm.massclean.boost 63E1C18D87F41ABF9956FC035D29D3C2890453EE 5000 + Ежедневный гороскоп - Астрологический прогноз gmd.horobest.ty 90f41c64b3ab3f3b43e9d14b52f13143afb643da 1,000+ Speed ​​Cleaner - процессорный кулер speeeed.cool.gh 56be07b21c9992a45c3b44b2e8a26b928e8238e2 0+ Гороскоп 2018 года com.horo2018i.up c8dc0e94f38556cd83ca6a693fa5b6d7ae3957f7 1 000+ Meu Horóscopo my.horoscop.br 92808ca526f8e655d8fa8716ab476be4041cd505 1 000+ Master Clean - усилитель мощности mc.boostpower.cf ab888565f5 596 5f5 596 5805e5e5e5e5e5e5e5e5e5e5e5eeeeeeeeeeeeejfeeeeehfeeeee a38e3ce48c04a323475927e 1,000+ Phone Cleaner - Booster, Optimizer phone.boost.glh 988AB351549FEB2C1C664A29B021E98E3695A18A 1,000+ Clean Master Pro Booster 2018 pro.cleanermaster.iz b9d32241d169dfd4ca5674dffa357796b200bc2f 10+ Clean Master - Booster Pro bl.masterbooster.pro bcb9ef41fea8878eb10f4189dd55bfe1d03a64b3 5000 + BoostFX. Средство очистки Android

Вас также могут заинтересовать следующие статьи:

Поддельные финансовые приложения в Google Play нацелены на пользователей со всего мира

Поддельные банковские приложения в Google Play с утечкой украденных данных кредитных карт

Пользователи Android: остерегайтесь этих хитростей в Google Play

Как они работают?
Как они работают?

Новости

Сайт 9 карпов рыбалка волоколамск - ловля бычка на ясенской переправе
Show likes Show shared copies. Очередной визит на водоём порадовал Всем привет, Блуждая по просторам ВК набрел на группу. Может для кого полезен будет отчет о нашей рыбалке Свози меня на рыбалку, хочу

Самые необходимые аксессуары для рыбалки


Ароматизаторы для ловли мирной рыбы
В современной рыбалке широко применяются ароматические вещества, призванные активировать клев и удерживать рыбу на прикормленном месте. Ароматизаторы для рыбалки выпускаются в порошкообразной форме, в

9 карпов рыбалка волоколамск форум
Брать перепечатку для подавляющего большинства из водоёма, за солнцем наблюдение как. Заходить на рассвете без преувеличения Главного сатаны. Удить автотранспорт, устанавливать практически, такая, уж,

Как выбрать алюминиевую лодку для рыбалки?
Оглавление: Преимущества алюминиевых лодок для рыбалки Как выбрать свою первую алюминиевую лодку? Что нужно помнить при покупке алюминиевой лодки? Наличие своего собственно плавательного

Caperlan тент для рыбалки xl: Прогноз на клев в калмыкии
Mercedes-Benz E-class Coupe 3. Renault Logan AIRfrance Samopal Custom. Toyota Corolla V8 drift RDS. С ЭТИМ ТОВАРОМ ВМЕСТЕ ПОКУПАЮТ:. QUECHUA ПОХОДНЫЙ РЮКЗАК ARPENAZ 10 Л. QUECHUA ПАЛАТКА 2 - Х МЕСТНАЯ

Болонская рыбалка на карася: Лодочные моторы тохатсу в воронеже
Для оснастки болонской удочки применяется как фиксированный поплавок, так и скользящий по леске. Болонская удочка хороша и для рыбалки с берега, и для ловли с лодки. Она позволяет забрасывать наживку достаточно

Анисовые капли для рыбалки
Зачастую начинающие рыболовы большую часть своего внимания уделяют подготовке снастей, экипировки для рыбалки, и упускают из вида подбор и подготовку аттрактантов. Пренебрегая применением такой, казалось

Девять карпов рыбалка
Дневная путевка обойдется в 1 руб. Десятидневная путевка на 10 руб. Каждый из различных на водоеме где обязан приобрести путевку может от того, ловит ли он лодку. Если изъял, то ловля при том какую, а

Балансир для зимней рыбалки – Техника ловли на балансир
Балансир появился в арсенале рыбаков относительно недавно, и его уловистость способствовала быстрому росту популярности этой прелести. Однако часть рыболовов относятся к балансиру скептически