 |
McAfee Mobile Research: Новые «умные» приложения для мошенничества в Google Play
В магазин Google Play проникла новая волна мошеннических приложений, нацеленная на пользователей Android в Юго-Западной Азии и на Аравийском полуострове – было уже более 700 000 скачиваний, прежде чем McAfee Mobile Research обнаружила их, и совместно с Google приступили к их удалению.
Вредоносные программы встроены в фоторедакторы, обои, головоломки, оболочки клавиатуры и другие приложения. Вредоносные программы перехватывают уведомления о SMS-сообщениях, а затем совершают несанкционированные покупки. Легальные приложения перед тем, как попасть в Google Play, проходят процесс проверки, а мошеннические приложения попали в магазин, отправив на проверку «чистую» версию приложения, а вредоносный код внедряется туда после обновления.
McAfee Mobile Security определяет эту угрозу как Android/Etinu и предупреждает мобильных пользователей, что есть угроза при использовании данного приложения. Команда McAfee Mobile Research продолжает отслеживать эту угрозу, и сотрудничает с Google по удалению этих и других вредоносных приложений из Google Play.
Технический анализ
Встроенное в эти приложения вредоносное ПО использует динамическую загрузку кода. Зашифрованные данные вредоносного ПО появляются в папке, связанной с приложением под именами «cache.bin», «settings.bin», «data.droid» или безобидными файлами «.png».
Скрытый вредоносный код в основном .apk приложения открывает файл «1.png» в папке assets, расшифровывает его в «loader.dex», а затем загружает измененный .dex. «1.png» зашифрован с использованием RC4 с именем пакета в качестве ключа. Первая полезная нагрузка создает запрос HTTP POST к серверу C2.
Интересно, что эта вредоносная программа использует серверы управления ключами. Он запрашивает у серверов ключи, и сервер возвращает ключ как значение «s» JSON. Также у этой вредоносной программы есть функция самообновления. Когда сервер отвечает значением «URL», содержимое URL используется вместо «2.png». Однако серверы не всегда отвечают на запрос или возвращают секретный ключ.
Как всегда, самые вредоносные функции проявляются на финальной стадии. Вредоносная программа захватывает прослушиватель уведомлений для кражи входящих SMS-сообщений, как это делает вредоносная программа Android Joker , без разрешения на чтение SMS. Как по цепочке вредоносная программа затем передает объект уведомления на финальную стадию. Когда уведомление приходит из пакета SMS по умолчанию, сообщение, наконец, отправляется с использованием интерфейса JavaScript WebView.
Исследователи пришли к выводу, что мошенники могли получать сведения об операторе связи пользователя, номере телефона, SMS-сообщениях, IP-адресе, стране и др.
Будут ли подобные угрозы в будущем?
Мы ожидаем, что угрозы, использующие функцию прослушивания уведомлений, будут продолжать развиваться. Команда McAfee Mobile Research продолжает отслеживать эти угрозы и защищать клиентов, анализируя потенциальные вредоносные программы и работая с магазинами приложений для их удаления. Однако важно обращать особое внимание на приложения, которые запрашивают разрешения, связанные с SMS и прослушиванием уведомлений. Настоящие приложения для обработки фотографий или установки обоев просто не будут запрашивать их, потому что они не нужны для их запуска. Если запрос кажется подозрительным, не принимайте его.
Контактное лицо: McAfee (написать письмо автору)
Компания: McAfee (все новости этой организации)
Добавлен: 21:37, 03.05.2021
Количество просмотров: 436
Страна: Россия
| «ДиалогНаука» – золотой партнер компании «Киберпротект», АО ДиалогНаука, 17:25, 28.04.2025, Россия |
223 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, по итогам 2024 года стала «Золотым партнёром» компании «Киберпротект», российского разработчика ПО для защиты данных, резервного копирования и восстановления виртуальных, физических и облачных сред. |
|
| «ДиалогНаука» и Xello: итоги участия в CISO FORUM 2025, АО ДиалогНаука, 22:17, 23.04.2025, Россия |
38 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания Xello, разработчик первой российской платформы класса DDP, приняли участие в CISO FORUM 2025. Мероприятие состоялось 10 апреля 2025 года в Loft Hall в Москве и вызвало большой интерес профессионального сообщества. |
|
| «ДиалогНаука» совместно с Xello участвует в CISO FORUM 2025, АО ДиалогНаука, 20:42, 09.04.2025, Россия |
43 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания Xello, разработчик первой российской платформы класса DDP, совместно участвуют в Межотраслевом Форуме «CISO FORUM 2025». Мероприятие пройдет 10 апреля 2025 года в Loft Hall в Москве. |
|
| «ДиалогНаука» участвует в конференции «Цифровая устойчивость промышленных систем», ДиалогНаука, 21:23, 26.02.2025, Россия |
148 |
| Компания «ДиалогНаука», системный интегратор в области информационной безопасности, участвует в ежегодной конференции «Цифровая устойчивость промышленных систем» (ЦУПС-2025). Мероприятие пройдет 27–28 февраля 2025 года в Москве в Центре событий РБК. «ДиалогНаука» представит экспозицию, посвященную собственным услугам в области информационной безопасности, а также решениям «Лаборатории Касперского». |
|
|
|
