Vier aparte malware campagnes, gericht op Android gebruikers, ontdekt in de Google Play Store in de laatste paar dagen. De malware, ontdekt door verschillende veiligheidsbedrijven, McAfee, ESET, Malwarebytes en Dr.Web waren vermomd als legitieme apps van Google Play en in geslaagd om miljoenen downloads. Dit is niet de eerste keer malware heeft gevonden in Google Play, maar vier afzonderlijke malware campagnes in slechts een paar dagen is nogal alarmerend.
Grabos malware gevonden in 144 Google Play apps
Als McAfee details in een report, Grabos, malware werd ontdekt in 144 apps op Google Play Store. Het vennootschappelijk mobiele onderzoeksteam de malware in Aristotle Music audiospeler 2017, een gratis audio-speler app voor het eerst ontdekt. Sinds dan, 144 apps op Google Play is gebleken dat de Grabos-malware bevatten.
McAfee merkt dat Aristoteles had een goede rating en miljoenen downloads, dat is genoeg voor veel gebruikers vertrouwen een app. Bovendien is de 34 apps die het onderzoeksteam kon onderzoeken had ook goede waarderingen, gemiddeld 4,4, en overvloed van downloads. Meer in het bijzonder tussen de 4.2 en 17,4 miljoen.
Volgens McAfee, de reden de apps waren kunnen mijden Google Play de veiligheidsmaatregelen is omdat van de malware-code is beveiligd met een commerciële obfuscator, die met opzet maakt het moeilijk om te onderzoeken van een app het zonder eerst te openen.
De malware heeft tot doel om te misleiden van gebruikers laten downloaden en installeren van apps door aan te tonen van valse meldingen. Dus het is veilig om te zeggen dat het probeert winst te maken door het bevorderen van app installaties.
AsiaHitGroup malware maakt het moeilijk om het te identificeren
De onderzoeker van de veiligheid van Malwarebytes onlangs discovered dat malware heeft geweest die zich voordeed als legitieme apps op Google Play. De malware, genaamd AsiaHitGroup, werd voor het eerst ontdekt in een QR-scanner app met de naam “Qr codegenerator – Qr scanner” maar werd later gevonden in een wekker-app, een kompas app, een app van de foto-editor, een Internet snelheid test app en een bestand Verkenner-app.
Wanneer gebruikers het downloaden van de app, zal het werken zoals het hoort de eerste keer. Echter, nadat de gebruiker bestaat, verdwijnt. Gebruikers zullen niet kundig voor vondst het overal door naam, waardoor het moeilijk om zich te ontdoen van. De onderzoeker merkt op dat de app dan zich als Download Manager vermomt. Als gebruikers niet vertrouwd bent met wat apps die ze hebben geïnstalleerd, is het vinden van de malware handmatig eigenlijk onmogelijk.
De malware controleert uw locatie allereerst bij binnenkomst. Als u gevestigd bent in Azië, vandaar de naam AsiaHitGroup, het wordt gedownload een SMS Trojan, die zich op premium telefoonnummers via SMS abonneren zou.
Trojan gevonden in 9 apps tussen 2.37 en 11,7 miljoen downloads
Software bedrijf Dr.Web discovered a Trojan in 9 apps op Google Play. De dreiging, Trojan Android.RemoteCode.106.origin benoemd en beschreven door het bedrijf, zou websites openen zonder de gebruiker te weten en helpen om van advertentie-inkomsten voor de eigenaars van die sites. Dr.Web het rapport merkt ook op dat Trojan kan worden gebruikt om phishingaanvallen uitvoeren en vertrouwelijke informatie te stelen.
De 9 apps die werden ontdekt aan de schadelijke code bevatten varieerde van spelletjes tot back-apps. Volgens Dr.Web, is Trojan gevonden in de volgende apps:
- Zoete bakkerij Match 3-Swap en verbinden van de 3 taarten 3.0;
- Bijbel Trivia, versie 1.8;
- Bijbel Trivia-vrije, versie 2.4;
- Snel schonere licht, versie 1.0;
- Maak geld 1,9;
- Band-spel: Piano, gitaar, Drum, versie 1.47;
- Cartoon van Racoon Match 3 – overval Gem puzzel 2017, versie 1.0.2;
- Eenvoudige Backup & Restore, versie 4.9.15;
- Leren om te zingen, versie 1.2.
Zodra de gebruikers downloaden app, zal Android.RemoteCode.106.origin controleren of het apparaat voldoet aan de eisen. Als het geïnfecteerde apparaat niet een bepaald aantal foto’s, contactpersonen of telefoongesprekken hoeft, zal de Trojaan niets doen. Indien echter de voorwaarden is voldaan, zal de Trojan downloaden van een lijst met modules, lanceren aanvullende schadelijke modules om te blazen website verkeer stats en koppelingen van de reclame.
Aangezien Dr.Web het verslag vrijgegeven, werd de kwaadaardige code verwijderd uit enkele apps, terwijl anderen schadelijke blijven.
ESET ontdekt meerfasen malware
Een nieuwe vorm van meerfasen malware werd ontdekt in 8 apps op Google Play door beveiliging bedrijf ESET. De malware, gedetecteerd als Android/TrojanDropper.Agent.BKY door ESET, is in feite een bancaire Trojan.
De apps werden ontdekt vrij snel, dus waren alleen in staat om een paar honderd downloads. De malware was die zich voordeed als Android apps voor reiniging of nieuws. Zij zijn sindsdien verwijderd uit Google Play Store.
Zodra de gebruikers apps downloaden, zou niet merken ze iets vreemd als de apps gedragen als ze naar verwachting door gebruikers, en vraag niet voor vreemde machtigingen. De malware maakt ook gebruik van meerdere fasen architectuur en codering te blijven onopgemerkt.
Wanneer het is gedownload, zal het uitvoeren van zijn lading van de eerste fase, die de lading van een tweede fase zal lanceren. De tweede fase-nettolading downloadt vervolgens een app, de derde-fase-nettolading. Dit gebeurt op de achtergrond, waardoor de gebruikers zich niet bewust.
ESET legt uit dat de gebruikers wordt vervolgens gevraagd om de gedownloade app, die kon worden vermomd als een soort van ogenschijnlijk legitieme software te installeren. De schadelijke app zou dan vragen de gebruikers om verschillende machtigingen te verlenen en als de gebruiker doet, de app de laatste lading, die in feite een bancaire Trojan zou uitvoeren.
De bancaire Trojan leert u vervolgens valse login schermen om uw referenties of credit card gegevens te verkrijgen.