FAQ        Платные сервисы        Рекламодателю        E-mail рассылка        RSS     
   
 
Разместить материал:

Анонимно
Зарегистрироваться
 
   

   
   
   

   
   
   


   
   
   
 Сегодня: 11 мая 2021
   
 

Версия для отчета Версия PDFMcAfee Mobile Research: Новые «умные» приложения для мошенничества в Google Play

Тематика: IT и телекоммуникации
Корпоративные новости

г. Москва
Дата публикации: 30.04.2021
Дата мероприятия / события: 30.04.2021


В магазин Google Play проникла новая волна мошеннических приложений, нацеленная на пользователей Android в Юго-Западной Азии и на Аравийском полуострове – было уже более 700 000 скачиваний, прежде чем McAfee Mobile Research обнаружила их, и совместно с Google приступили к их удалению.



Вредоносные программы встроены в фоторедакторы, обои, головоломки, оболочки клавиатуры и другие приложения. Вредоносные программы перехватывают уведомления о SMS-сообщениях, а затем совершают несанкционированные покупки. Легальные приложения перед тем, как попасть в Google Play, проходят процесс проверки, а мошеннические приложения попали в магазин, отправив на проверку «чистую» версию приложения, а вредоносный код внедряется туда после обновления.

McAfee Mobile Security определяет эту угрозу как Android/Etinu и предупреждает мобильных пользователей, что есть угроза при использовании данного приложения. Команда McAfee Mobile Research продолжает отслеживать эту угрозу, и сотрудничает с Google по удалению этих и других вредоносных приложений из Google Play.

Технический анализ
Встроенное в эти приложения вредоносное ПО использует динамическую загрузку кода. Зашифрованные данные вредоносного ПО появляются в папке, связанной с приложением под именами «cache.bin», «settings.bin», «data.droid» или безобидными файлами «.png».

Скрытый вредоносный код в основном .apk приложения открывает файл «1.png» в папке assets, расшифровывает его в «loader.dex», а затем загружает измененный .dex. «1.png» зашифрован с использованием RC4 с именем пакета в качестве ключа. Первая полезная нагрузка создает запрос HTTP POST к серверу C2.

Интересно, что эта вредоносная программа использует серверы управления ключами. Он запрашивает у серверов ключи, и сервер возвращает ключ как значение «s» JSON. Также у этой вредоносной программы есть функция самообновления. Когда сервер отвечает значением «URL», содержимое URL используется вместо «2.png». Однако серверы не всегда отвечают на запрос или возвращают секретный ключ.

Как всегда, самые вредоносные функции проявляются на финальной стадии. Вредоносная программа захватывает прослушиватель уведомлений для кражи входящих SMS-сообщений, как это делает вредоносная программа Android Joker , без разрешения на чтение SMS. Как по цепочке вредоносная программа затем передает объект уведомления на финальную стадию. Когда уведомление приходит из пакета SMS по умолчанию, сообщение, наконец, отправляется с использованием интерфейса WebView.

Исследователи пришли к выводу, что мошенники могли получать сведения об операторе связи пользователя, номере телефона, SMS-сообщениях, IP-адресе, стране и др.

Будут ли подобные угрозы в будущем?
Мы ожидаем, что угрозы, использующие функцию прослушивания уведомлений, будут продолжать развиваться. Команда McAfee Mobile Research продолжает отслеживать эти угрозы и защищать клиентов, анализируя потенциальные вредоносные программы и работая с магазинами приложений для их удаления. Однако важно обращать особое внимание на приложения, которые запрашивают разрешения, связанные с SMS и прослушиванием уведомлений. Настоящие приложения для обработки фотографий или установки обоев просто не будут запрашивать их, потому что они не нужны для их запуска. Если запрос кажется подозрительным, не принимайте его.




 
   
   
   
   

   
 
ByconGroup
 
   

   
   
   

   
 
« апрель 2021 »
ПнВтСрЧтПтСбВс    123456789101112131415161718192021222324252627282930
За весь месяц


« май 2021 »
ПнВтСрЧтПтСбВс      12345678910111213141516171819202122232425262728293031
За весь месяц
 
   

   
 
Медиалогия
 
   

   
   
   
Портал разработан студией NeoWays.ru
КГ "Византия" ©, 2010                                   Служба поддержки пользоваталей: support@smi2go.ru