Η Sjekkpunktforskning (HLR) har oppdaget seks søknader i Play-butikken fra Google som sprer skadevare ved å utgi seg for å være antivirusløsninger.
Γkjent som haibot, skadelig programvare stjeler legitimasjon og bankinformasjon. Under forskningen hennes HLR regnet over 1.000 unike IP-er adresser til infiserte enheter, hovedsakelig i Storbritannia og Italia. Imidlertid hans statistikk Google Play-butikken avslørte at de ondsinnede applikasjonene ble lastet ned mer enn 11.000 ganger.
Det haibot lokker sine ofre gjennom varsler skyv og lure brukere til å skrive inn legitimasjon i miljøer som etterligner dataregistreringsskjemaer. DE HLR mistenker at trusselen er russisktalende og advarer Android-brukere over hele verden om å være ekstra forsiktige før de laster ned antivirusløsninger på Play-butikken.
- Det 62% av ofrene ble funnet i Italia, 36% i Storbritannia, 2% i andre land
- Trusseloperatører har implementert geografiske gjerder, som ignorerer enhetsbrukere i Kina, India, Romania, Russland, Ukraina og Hviterussland
- HLR rapporterte umiddelbart funnene hennes på Google, som fjernet de skadelige programmene
Η Sjekkpunktforskning (HLR) Han oppdaget seks søknader som sprer bankskadelig programvare i Google Play-butikken forkledd som antivirusløsninger. Skadelig programvare, kjent som "haibotStjeler legitimasjon og bankinformasjon fra Android-brukere. De haibot lokker sine ofre til å sette inn legitimasjonen deres i vinduer som etterligner legitimasjonsskjemaer. Når en bruker legger inn dataene sine der, sendes de kompromitterte dataene til en ondsinnet server. DE HLR fant ut at skadevareskapere hadde implementert en geolokaliseringsfunksjon som ignorerer enhetsbrukere i Kina, India, Romania, Russland, Ukraina eller Hviterussland.
De seks ondsinnede applikasjonene
Fire av søknadene kom fra deres tre utviklerkontoer Rest Adamcik, Adelmio Pagnotto og Bingo Like Inc. Da HLR sjekket historien til disse kontoene, fant de ut at to av dem var aktive høsten 2021. Noen av appene knyttet til disse kontoene ble fjernet fra Google Play, men eksisterer fortsatt i uformelle markeder. Dette kan bety at personen bak applikasjonene prøver å holde seg "under radaren" mens han fortsatt driver med ondsinnet aktivitet.
Ofrene
HLR kunne samle statistikk i en uke. I denne perioden telte han mer enn 1.000 IP-ofre. Hver dag økte antallet ofre med rundt 100. Ifølge hans statistikk Google Play, ble de seks ondsinnede applikasjonene oppdaget av HLR lastet ned mer enn 11.000 XNUMX ganger. De fleste av ofrene er i Storbritannia og Italia.
Figur 2.% av ofrene per land
Metodikken for angrep
- Motivere brukeren til å gi tilgangsrettigheter til en applikasjon
- Etter det får skadevaren kontroll over en stor del av offerets enhet
- Trusseltakere kan også sende push-varsler til ofre som inneholder ondsinnede lenker
Detaljer om angrepet
HLR har ikke nok data til å tilskrive ansvaret til et bestemt sted. Vi kan anta at skadevareforfatterne snakker russisk. I tillegg vil ikke skadelig programvare utføre sin ondsinnede funksjonalitet hvis enheten er lokalisert i Kina, India, Romania, Russland, Ukraina eller Hviterussland.
Vi annonserer ansvarlig
Umiddelbart etter å ha funnet disse applikasjonene som spredte Sharkbot, kunngjorde CPR funnene sine til Google. Etter å ha gjennomgått applikasjonene, fortsatte Google med å fjerne disse applikasjonene permanent fra Google Play-butikken. Samme dag som HLR rapporterte funnene til Google, NCC-teamet publisert en egen forskning for Sharkbot, som siterer en av de ondsinnede applikasjonene.
Hans kommentar Alexander Chailytko, Cyber Security, Research & Innovation Manager, Check Point Software:
Jeg tror det er viktig for alle Android-brukere å vite at de må være veldig forsiktige før de laster ned noen antivirusløsning fra Play Store. Det kan være Sharkbot.
Sikkerhetstips for Android-brukere
- Installer bare programmer fra pålitelige og verifiserte utgivere.
- Hvis du ser en applikasjon fra en ny utgiver, se etter en fra en pålitelig utgiver.
- Rapporter til Google alle tilsynelatende mistenkelige applikasjoner du møter.
Ikke glem å følge den Xiaomi-miui.gr på Google Nyheter å bli informert umiddelbart om alle våre nye artikler! Hvis du bruker RSS-leser, kan du også legge til siden vår på listen din ved å følge denne lenken >> https://news.xiaomi-miui.gr/feed/gn
Følg oss på Telegram slik at du er den første til å lære alle våre nyheter!