Шкідлива кампанія скористалася, здавалося б, нешкідливими програмами-дроперами Android у магазині Google Play, щоб поставити під загрозу пристрої користувачів за допомогою Банківські послуги Шкідливе програмне забезпечення.
Ці 17 програм Dropper, які називаються об’єднаними Даудрубер Від Trend Micro, замасковані під продуктивні програми та утиліти, такі як сканери документів, зчитувачі QR-кодів, служби VPN, записи дзвінків тощо. Усі ці відповідні програми видалено з ринку програм.
«DawDropper використовує базу даних Firebase Realtime, сторонній хмарний сервіс, щоб уникнути виявлення та динамічно отримувати адресу завантаження корисного навантаження», — сказали дослідники. Він сказав. «Він також розміщує шкідливі корисні дані на GitHub».
Droppers – це програми, призначені для проходження перевірок безпеки Google Play Store, після чого вони використовуються для завантаження на пристрій більш потужного та настирливого шкідливого програмного забезпечення, у цьому випадку окто (купер), гідраІ кинути тебеІ тибот.
Ланцюжки атак включали зловмисне програмне забезпечення DawDropper, яке встановлює з’єднання з базою даних Firebase Realtime для отримання URL-адреси GitHub, необхідної для завантаження шкідливого файлу APK.
Нижче наведено список шкідливих програм, які раніше були доступні в App Store.
- Запис дзвінків APK (com.caduta.aisevsk)
- Rooster VPN (com.vpntool.androidweb)
- Super Cleaner – Hyper Smart (com.j2ca.callrecorder)
- Сканер документів – PDF Creator (com.codeword.docscann)
- Universal Saver Pro (com.virtualapps.universalsaver)
- Eagle Photo Editor (com.techmediapro.photoediting)
- запис дзвінків pro + (com.chestudio.callrecorder)
- Extra Cleaner (com.casualplay.leadbro)
- Crypto Utils (com.utilsmycrypto.mainer)
- FixCleaner (com.cleaner.fixgate)
- Just In: Video Motion (com.olivia.openpuremind)
- com.myunique.sequencestore
- com.flowmysequto.yamer
- com.qaz.universaver
- Lucky Cleaner (com.luckyg.cleaner)
- Simpli Cleaner (com.scando.qukscanner)
- Unicc QR сканер (com.qrdscannerratedx)
Додаток під назвою “Unicc QR Scanner” включений до числа поїздів, які були раніше Повідомляє Zscaler Раніше цього місяця був розповсюджений троян Coper Banking, різновид мобільного шкідливого ПЗ від Exobot.
Також відомо, що він вимикає Octo Google Play для захисту і використовувати Virtual Network Computing (VNC) для запису екрана пристрою жертви, включаючи конфіденційну інформацію, таку як банківські облікові дані, адреси електронної пошти, паролі та PIN-коди, які пізніше просочуються на віддалений сервер.
Зі свого боку банк відсіє еволюціонував З початку року він відмовився від зашифрованих адрес завантаження корисного навантаження за допомогою проміжного програмного забезпечення, щоб маскувати адресу, на якій розміщено шкідливе програмне забезпечення.
«Кіберзлочинці постійно знаходять способи уникнути виявлення та зараження якомога більшої кількості пристроїв», — заявили дослідники.
Крім того, через високий попит на нові способи розповсюдження зловмисного програмного забезпечення на мобільних пристроях багато зловмисників стверджують, що їхні інструменти для майнінгу можуть допомогти іншим кіберзлочинцям поширювати їхнє зловмисне програмне забезпечення в Google Play Store, що призводить до використання Dropper як служби (DaaS) Модель.”
“Загальний ніндзя в соціальних мережах. Інтроверт. Творець. Шанувальник телебачення. Підприємець, що отримує нагороди. Веб-ботанік. Сертифікований читач”
/cdn.vox-cdn.com/uploads/chorus_asset/file/25404717/delta_app_store.png)
/cdn.vox-cdn.com/uploads/chorus_asset/file/21869417/akrales_200904_4160_0216.0.jpg)
