Advertisement

Már megint fertőzött appok az Android áruházban

|

A bejelentkezési információk megszerzésére szakosodott banki trójaiak különféle funkcionalitású appoknak álcázták magukat.

Ha valaki azt hinné, hogy a Google szűrője megakadályozza rosszindulatú programok bekerülését az Android Play áruházba, azt sajnos ki kell ábrándítanunk: az Eset kutatói augusztus és október között nem kevesebb, mint 29 fertőzött Android appot találtak a hivatalos alkalmazásáruházban.

Hirdetés

A biztonsági cégtől származó információk szerint a szóban forgó banki trójaik a legkülönfélébb Android-appoknak - a horoszkóp programtól kezdve a teljesítménynövelő alkalmazásokig - álcázták magukat annak érdekében, hogy a felhasználók nagyobb körét fertőzhessék meg.

A fertőzött appok mindent megtettek azért, hogy rosszindulatú szándékaik észrevétlenek maradjanak. Miután az Eset értesítette a Google-t, a keresőkirály eltávolította az appokat a Play áruházból, de mire ez megtörtént, az alkalmazások hozzávetőlegesen 30 ezer mobil eszközt fertőztek meg.

A most felfedezett banki trójaiak sokkal összetettebbek voltak, mint a korábban észleltek, vagyis jóval kifinomultabb módszereket vetettek be a banki bejelentkezési adatok megszerzésére. Fejlett funkcióik közé tartozott, hogy képesek voltak megszemélyesíteni a megfertőzött Android-eszközre telepített bármely alkalmazást az utánozni kívánt app HTML kódjának felhasználásával, így hozva létre űrlap rétegeket a bejelentkezési adatok ellopására.

A rosszindulatú appok többlépéses fertőzési rutint hajtottak végre. Az első lépésben telepített dropper a sandboxok és emulátorok felkutatására szolgált, valamint a trójai letöltésére, miután megbizonyosodtak arról, hogy egy valódi Android-eszközön fut.

A banki információk ellopásán túlmenően a banki trójaik képesek voltak szöveges üzenetek elfogására és átirányítására az SMS-alapú kétfaktoros azonosítás kijátszása érdekében, híváslisták megszerzésére, valamint további appok letöltésére és telepítésére.

A rosszindulatú programokat többféle fejlesztő neve alatt töltötték fel, de a kódok hasonlóságai, valamint a megegyező parancs és vezérlő szerver miatt az Eset kutatói arra a következtetésre jutottak, hogy ugyanaz a hacker vagy hackercsoport készítette őket.

0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.