DAJ CYNK

Sklep Play wciąż źródłem syfu: cztery trojany czyszczą konta

Piotr Urbaniak

Bezpieczeństwo

Sklep Play wciąż źródłem syfu: cztery trojany czyszczą konta

Cztery różne trojany bankowe rozprzestrzeniły się w Sklepie Play między sierpniem a wrześniem 2021, by zebrać żniwo w postaci 300 tys. infekcji – raportuje firma ThreatFabric. Badacze podkreślają, że mimo starań ze strony Google'a, szkodniki wciąż szaleją, a przestępcy stosują coraz bardziej wyrafinowane metody.

Dalsza część tekstu pod wideo
 

Anatsa (aka TeaBot), Alien, ERMAC, and Hydra – co je łączy? Wszystkie to trojany bankowe, które badacze z ThreatFabric zaliczają do grona malware'u nowej generacji. Nieco ponad kwartał wystarczył, by zainfekowały nawet 300 tys. urządzeń, wyliczono. Zazwyczaj bez wiedzy właściciela.

Podczas gdy tradycyjny malware działa w pewnym sensie zero-jedynkowo, bo albo jest i nieprzerwanie stanowi zagrożenie, albo go nie ma, szkodliwy kod nowej generacji okazuje się bardziej wysublimowany. Budzi się w określonych warunkach, na przykład tylko w specyficznej lokalizacji, po czym opóźnia ostateczny atak. Tak, by poszkodowany nie mógł powiązać go z konkretną aplikacją czy zdarzeniem.

Nowej generacji, czyli chirurgicznie precyzyjny

Jako przykład przedstawiono historię ERMACa i Hydry; trojanów początkowo niestosowanych przeciwko mieszkańcom USA, a później precyzyjnie wprowadzonych na ten właśnie rynek za pośrednictwem aplikacji do skanowania kodów QR. Wykrywszy inną niż Stany Zjednoczone lokalizację, skaner działał tak jak uczciwe narzędzie, nie zasysając żadnych śmieci.

Inny wzorzec to z kolei seria ataków z wykorzystaniem trojana TeaBot. Dystrybuujące go aplikacje nie miały w sobie ani linijki szkodliwego kodu, dzięki czemu przemknęły spacerkiem przez algorytmy Google Play Protect i całą resztę zasieków. Payload pobierany był dopiero przez system aktualizacji. Albo witrynę internetową naśladującą panel kontroli zdalnej.

Jeszcze inną taktykę wybrali autorzy trojana Alien. Swojego szkodnika dorzucili do aplikacji fitnessowej, lecz ponownie nie bezpośrednio, tylko w pakiecie z dodatkowymi zestawami ćwiczeń. Gdyby użytkownik nie zdecydował się na ich pobranie, to pozostałby bezpieczny. Ale kto odmówiłby gratisu, czyż nie?

12 szkodliwych aplikacji w Sklepie Play

Źeby nie być gołosłownym, ekipa ThreatFabric przygotowała listę 12 aplikacji znalezionych w Sklepie Play, które wykorzystywały opisane techniki. Przypomnijmy, łącznie z powodzeniem zainfekowały ponad 300 tys. urządzeń. Nie wiadomo, na ilu z nich pozostały uśpione, ale niewątpliwie lepiej losu nie kusić. A oto i one:

  • Two Factor Authenticator (com.flowdivison)
  • Protection Guard (com.protectionguard.app)
  • QR CreatorScanner (com.ready.qrscanner.mix)
  • Master Scanner Live (com.multifuction.combine.qr)
  • QR Scanner 2021 (com.qr.code.generate)
  • QR Scanner (com.qr.barqr.scangen)
  • PDF Document (com.xaviermuches.docscannerpro2)
  • Scanner - Scan to PDF
  • PDF Document Scanner (com.docscanverifier.mobile)
  • PDF Document Scanner Free (com.doscanner.mobile)
  • CryptoTracker (cryptolistapp.app.com.cryptotracker)
  • Gym and Fitness Trainer (com.gym.trainer.jeux)
Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Unsplash (Łukasz Radziejewski)

Źródło tekstu: ThreatFabric, oprac. własne