สี่แยกมัลแคมเปญ กำหนดเป้าหมายผู้ใช้ Android มีการค้นพบในการ Google Play Store ในไม่กี่วัน มัลแวร์ ค้นพบ โดยบริษัทรักษาความปลอดภัยที่แตกต่างกัน McAfee, Malwarebytes, Dr.Web และ ESET ได้ปลอมตัวเป็นแอป Google Play ถูกต้องตามกฎหมาย และรับการดาวน์โหลดนับล้าน นี่ไม่ใช่ครั้งแรกที่พบมัลแวร์ใน Google Play แต่แคมเปญมัลแวร์ที่แยกสี่ในเพียงไม่กี่วันเป็นค่อนข้างน่ากลัว
Grabos มัลแวร์ที่พบในแอป Google Play 144
เป็นรายละเอียดของ McAfee ใน report, Grabos 144 ค้นพบมัลแวร์บน Google Play Store ทีมวิจัยมือถือของบริษัทค้นพบมัลแวร์ในอริสโตเติลเสียงเล่นเพลง 2017, app เล่นฟรีครั้งแรก ตั้งแต่ 144 แล้ว แอปใน Google Play ได้พบว่าประกอบด้วยมัลแวร์ Grabos
McAfee หมายเหตุที่ อริสโตเติลได้คะแนนดีและการดาวน์โหลด นับล้านซึ่งเพียงพอสำหรับผู้ใช้จำนวนมากเชื่อถือแอ นอกจากนี้ 34 ที่ทีมวิจัยได้ตรวจสอบยังมีอันดับดี เฉลี่ย 4.4 และดาวน์โหลดมากมาย โดยเฉพาะอย่างยิ่ง ระหว่าง 4.2 และ 17.4 ล้าน
ตาม McAfee เหตุผลแอได้มีการเลี่ยงผ่าน Google Play เป็นมาตรการรักษาความปลอดภัย เพราะมีป้องกันรหัสของมัลแวร์ ด้วยการ obfuscator ค้า จงใจทำให้ยากต่อการตรวจสอบแอปโดยไม่ต้องเปิดก่อน
มัลแวร์มีวัตถุประสงค์เพื่อหลอกให้ผู้ใช้ดาวน์โหลด และติดตั้งแอปพลิเคชัน โดยการแสดงการแจ้งเตือนปลอม ดังนั้นจึงพูดได้ว่า มันพยายามทำกำไร โดยการส่งเสริมการติดตั้งแอป
AsiaHitGroup มัลแวร์ทำให้ยากที่จะระบุได้
นักวิจัยด้านความปลอดภัยจาก Malwarebytes ล่า discovered ว่ามัลแวร์มีการวางตัวเป็นแอปที่ถูกต้องบน Google Play มัลแวร์ AsiaHitGroup ชื่อครั้งแรกถูกพบใน app สแกนเนอร์ QR กับชื่อ “เครื่องสร้าง Qr code – สแกนเนอร์ Qr” แต่ภายหลังยังพบในแอนาฬิกา แบบเข็ม ด้วยแอพตกแต่งภาพ แอทดสอบความเร็วอินเตอร์เน็ต และ app explorer แฟ้ม
เมื่อผู้ใช้ดาวน์โหลด app มันจะทำงาน ตามที่ควรในครั้งแรก อย่างไรก็ตาม หลังจากที่ผู้ใช้ที่มีอยู่ มันหายไป ผู้ใช้จะไม่สามารถค้นหาได้ที่ใดก็ได้ โดยชื่อ ซึ่งทำให้ยากต่อการกำจัด หมายเหตุนักวิจัยที่แอปแล้วปลอมตัวเองเป็นผู้จัดการการดาวน์โหลด หากผู้ใช้ไม่คุ้นเคยกับ apps อะไรพวกเขาได้ติดตั้ง ค้นหามัลแวร์ด้วยตนเองเป็นไปไม่ได้โดยทั่วไป
มัลแวร์จะตรวจสอบตำแหน่งของสิ่งแรกเมื่อป้อนรายการ ถ้าคุณอยู่ในทวีปเอเชีย ดังนั้นชื่อ AsiaHitGroup จะดาวน์โหลดการ SMS โทรจัน ซึ่งต้องสมัครพรีเมี่ยมหมายเลขโทรศัพท์ผ่าน SMS
พบโทรจันใน 9 แอดาวน์โหลดระหว่าง 2.37 และ 11.7 ล้าน
ซอฟต์แวร์บริษัท Dr.Web discovered เป็นโทรจันใน 9 แอปใน Google Play คุกคาม ชื่อโทรจัน Android.RemoteCode.106.origin โดยบริษัท จะเปิดเว็บไซต์ โดยไม่มีผู้รู้ และช่วยให้รายได้โฆษณาสำหรับเจ้าของเว็บไซต์เหล่านั้น รายงานของ Dr.Web ได้บันทึกว่า สามารถใช้โทรจันเพื่อทำฟิชชิ่งการโจมตี และขโมยข้อมูลลับ
9 แอที่พบจะประกอบด้วยรหัสเป็นอันตรายที่แตกต่างกันจากเกมการปพลิเคชันที่สำรองข้อมูล ตาม Dr.Web โทรจันที่พบในโปรแกรมต่อไปนี้:
- หวานเบเกอรี่ตรง 3 – สลับ และเชื่อมต่อเค้ก 3 3.0
- คัมภีร์เรื่องไม่สำคัญ รุ่น 1.8
- เกร็ดน่ารู้พระคัมภีร์ – ฟรี รุ่น 2.4
- ทำความสะอาดอย่างรวดเร็วแสง รุ่น 1.0
- ทำเงิน 1.9
- เกมวงดนตรี: เปียโน กีตาร์ กลอง รุ่น 1.47
- การ์ตูนสัตว์คล้ายหมีเล็กตรง 3 – ปล้นอัญมณีปริศนา 2017 รุ่น 1.0.2
- สำรองข้อมูลและคืนค่า รุ่น 4.9.15 ง่าย
- เรียนรู้การร้องเพลง รุ่น 1.2
เมื่อผู้ใช้ดาวน์โหลดแอ Android.RemoteCode.106.origin จะตรวจสอบว่า อุปกรณ์ตรงกับความต้องการ ถ้าอุปกรณ์ที่ติดเชื้อไม่มีจำนวนเฉพาะของภาพถ่าย รายชื่อติดต่อ หรือโทรศัพท์ โทรจันจะไม่ทำอะไรเลย ถ้า แต่ เงื่อนไข โทรจันจะดาวน์โหลดรายการโมดู เปิดโมดูลที่เป็นอันตรายเพิ่มเติมพื้นสถิติการเข้าชมเว็บไซต์ เพื่อติดตามการเชื่อมโยงโฆษณา
Dr.Web ปล่อยรายงาน รหัสเป็นอันตรายถูกเอาออกจากบางส่วนของแอ ในขณะที่คนอื่นยังคงเป็นอันตราย
ESET ตรวจพบมัลแวร์หลายขั้นตอน
ค้นพบมัลแวร์หลายขั้นตอนแบบใหม่ 8 แอบน Google Play โดย ESET บริษัทรักษาความปลอดภัย มัลแวร์ ตรวจพบว่าเป็น Android/TrojanDropper.Agent.BKY โดย ESET เป็นธนาคารโทรจัน
แอพบสวยอย่างรวดเร็ว ทำ ได้เพียงรับสองร้อยดาวน์โหลด มัลแวร์ถูกวางตัวเป็นปพลิเคชันทำความสะอาดหรือข่าว จะได้รับตั้งแต่ออกจาก Google Play Store
เมื่อผู้ใช้ดาวน์โหลดแอ พวกเขาจะไม่เห็นอะไรแปลกเป็นแอพที่ทำงานคาดว่าจะ โดยผู้ใช้ และไม่ขอสิทธิ์แปลก นอกจากนี้มัลแวร์ยังมีสถาปัตยกรรมหลายขั้นตอนและการเข้ารหัสยังคงตรวจไม่พบ
เมื่อมีดาวน์โหลด มันจะรันน้ำหนักบรรทุกขั้นแรกที่ ซึ่งจะเปิดรับน้ำหนักบรรทุกได้สองขั้น น้ำหนักบรรทุกขั้นสองแล้วดาวน์โหลดแอ บรรทุกสามขั้น เกิดขึ้นในพื้นหลัง ดังนั้น ผู้ใช้จะไม่ทราบ
เป็น ESET อธิบาย ผู้ใช้แล้วขอให้ติดตั้ง app ดาวน์โหลด ซึ่งไม่สามารถปลอมแปลงเป็นชนิดของซอฟต์แวร์ที่ถูกต้องดูเหมือนบาง App ที่เป็นอันตรายแล้วจะถามผู้ใช้เพื่อให้สิทธิ์ต่าง ๆ และหากผู้ใช้ แอจะดำเนินการขั้นสุดท้ายสิ่งที่เตรียมไว้ ซึ่งโดยทั่วไปธนาคารโทรจัน
โทรจันธนาคารจะแล้วแสดงหน้าจอเข้าสู่ระบบปลอมเพื่อขอรับข้อมูลประจำตัวหรือรายละเอียดบัตรเครดิตของคุณ