W sklepie Google Play znaleziono tak zwane droppery, których zadaniem jest dystrybucja malware'u, w tym trojanów bankowych. Same nie zawierają złośliwego kody, więc są trudne do wykrycia.
Badacze z firmy Threat Fabric odkryli zestaw nowych dropperów przeznaczonych do przenoszenie złośliwego oprogramowania atakującego smartfony oraz tablety z systemem operacyjnym Android. Tego typu aplikacje są trudne do zatrzymania, a ich celem jest zainstalowanie na urządzeniu ofiary złośliwego kodu. Same nie budzą podejrzeń wśród użytkowników, ponieważ realizują swoje funkcje. Za kulisami jednak prowadzą szkodliwe działania. Co istotne, droppery same nie zawierają złośliwego kodu, dlatego potrafią stosunkowo łatwo prześlizgnąć się przez się przez kontrolę bezpieczeństwa platformy Google Play.
Zobacz: Gry dla Androida na pececie z Windows. Google Play Games wychodzi z ukrycia
Zobacz: Google zamyka znaną aplikację. Za chwilę przestanie działać
Pierwsza kampania droppera zauważona przez Threat Fabric miała miejsce na początku października 2022 roku. Dropper instalował na urządzeniach ofiar trojana bankowego SharkBot. Jest to złośliwe oprogramowanie kradnące dane uwierzytelniające z legalnych formularzy logowania do witryn, przechwytujące dane wpisywane na klawiaturze, ukrywające wiadomości SMS oraz przejmujące zdalną kontrolę nad urządzeniem mobilnym.
Naukowcy odkryli dwie nieszkodliwie wyglądające aplikacje typu dropper: Codice Fiscale 2022 i File Manager Small, Lite. Obie służą do instalowania SharkBota na urządzeniach mobilnych ofiar.
Pierwsza aplikacja, Codice Fiscale 2022, jest zamaskowana jako narzędzie do obliczania płatności podatkowych we Włoszech i została pobrana 10 tys. razy. Gdy użytkownik zainstaluje złośliwą aplikację dropper, ta poprosi go o zainstalowanie fałszywej aktualizacji, która zainstaluje malware SharkBot na jego urządzeniu. Z kolei aplikacja File Manager dostarcza SharkBot o szerszym zasięgu, atakujący klientów banków we Włoszech, Wielkiej Brytanii, Niemczech, Hiszpanii, Polsce, Austrii, Australii i Stanach Zjednoczonych.
Inna kampania wykorzystująca aplikacje typu dropper dostarcza szkodliwego trojana Vultur, obsługiwanego przez cyberprzestępcę znanego jako „Projekt Brunhilda”. Przestępcy po zainstalowaniu na urządzeniu Vultura mogą śledzić wszelkie kliknięcie, gesty i inne działania podejmowane przez ofiarę.
Droppery rozprowadzające Vultur to:
Korzystanie z dropperów staje się z jedną z częściej stosowanych metod instalowania złośliwego oprogramowania. Między innymi dlatego, że stosunkowo łatwo omijają one skanery wykrywania oszustw.
Wszystko wskazuje na to, że cyberprzestępcy będą wykorzystywać droppery na coraz szerszą skalę, bowiem jest to rozwiązanie z ich punktu widzenia ekonomiczne i skalowalne. Bardziej wyrafinowane taktyki wymagają poświęcenia więcej zasobów niż droppery. Te ostatnie pozwalają napastnikom łatwo wtargnąć do oficjalnych sklepów z aplikacjami i dotrzeć do szerokiej, niczego niepodejrzewającej publiczności.
– powiedział Mariusz Politowicz z firmy Marken, dystrybutor rozwiązań Bitdefender
Wadą dropperów jest konieczność zaangażowania się potencjalnych ofiar w przynajmniej jedną ręczną czynność, ponieważ muszą się zgodzić na instalację ładunków. Jednak hakerzy robią wszystko, aby użytkownik połknął haczyk i starają się dopracować witryny oraz interfejsy w taki sposób, aby nie budziły jakichkolwiek podejrzeń wśród klientów Google Play.
Jeżeli to możliwe, należy nie zezwalać na aktualizacje ze zdalnych źródeł, a także analizować adresy URL, aby potwierdzić, iż aplikacja pochodzi z oficjalnego sklepu Google Play.
– dodał Mariusz Politowicz
Zobacz: Atak na klientów mBank. Jedna grupa zagrożona szczególnie
Zobacz: Masz samsunga? To masz też pilne zadanie
Źródło zdjęć: Shutterstock
Źródło tekstu: Marken