Calculadora de Moneda-appen på Google Play skjulte den ondsindede Cerberus Trojan
Google har modtaget en hel del kritik for at have lader for meget malware på Google Play, og du kan sige, at der er en meget god grund til dette. Sammenlignet med Apple har Google vedtaget en meget mere liberal politik, hvad angår tilladelse af, at apps offentliggøres i Play-butikken, og hyppigheden, hvor malware glider gennem revnerne, viser, at kontrollerne ikke er strenge nok. Når det er sagt, er hackere undertiden især fast besluttet på at holde deres ondsindede intention hemmelig. I går fortalte for eksempel forskere fra Avast os om de smarte tricks, cyberkriminelle har brugt til at skjule et nylige angreb på spanske brugere.
Table of Contents
Hackere offentliggjorde en valutakonverter på Google Play
Handlingen begyndte langt tilbage i marts, da operatørerne af Cerberus banks trojan offentliggjorde en app i Android's officielle butik. Applikationen blev kaldt "Calculadora de Moneda" (spansk for "valutakalkulator"), og hackerne havde absolut ingen problemer med at køre den forbi Googles sikkerhedskontrol.
Det skyldes, at der ikke var noget ondsindet ved det. Den oprindelige version af Calculadora de Moneda var fuldstændig godartet, og den fungerede endda som en valutakonverter. Målet var at tjene brugernes tillid og tjene det, det gjorde det. Ifølge Avast for et par dage siden havde valutakonverterappen ca. 10.000 downloads.
Tidslinjen er ikke helt klar, men på et tidspunkt mellem marts og juli begyndte den ondsindede fase af operationen. Hackerne skubbede en opdatering, der indeholdt et par kodelinjer, der senere ville downloade og installere Cerberus. De havde imidlertid ikke travlt med at udløse det. Koden forblev sovende og blev kun aktiveret for et par dage siden.
Skurkerne indsatte Cerberus bank-trojan for et par dage siden
Den ondsindede kode kontaktede skurkenes Command and Control-server (C&C) og downloadede en APK-fil, som, hvis udført, ville installere Cerberus bank-trojan.
Cerberus er en formidabel trussel. Det har måske kun været i et år eller deromkring, men det har allerede givet sig et navn, og adskillige angreb i de sidste par måneder antyder, at dens operatører har en særlig interesse for spansktalende brugere.
Avasts rapport siger ikke, hvilken bankapplikation den er målrettet mod, men den forklarer dog, at den stjæler adgangskoder ved at tegne et overlay over apps 'loginformularer og udfiltrere de indtastede legitimationsoplysninger. Trojanen har også muligheden for at læse tekstmeddelelser og stjæle godkendelseskoder fra apps som Google Authenticator, hvilket betyder, at den er i stand til at omgå tofaktorautentisering.
Det er vanskeligt at sige, hvor mange der blev ramt, men som du kan se, blev de alle sat i alvorlig risiko. Det er en god ting, at angrebet nu er forbi.
Implementeringen er stoppet… for nu
Appen Calculadora de Moneda begyndte at downloade Cerberus på et tidspunkt den 6. juli, men blot timer senere stoppede distributionen. C&C og malware-nyttelasten blev inaktiv, og appen til valutaomregner fortsatte med at fungere som normalt.
Der kan være et par grunde til skurkenes beslutning om at afskære kampagnen. De håber måske, at det mindre angreb vil hjælpe dem med at undgå opdagelse. Alternativt kunne deres planer have ændret sig, efter at Avasts forskere aflyttede kampagnen. Vi bør heller ikke nedbringe den dystre mulighed for, at dette er en test, der går foran et større angreb.
Uanset hvad, brugerne skal være opmærksomme på risikoen, og de er nødt til at vide, hvad de skal gøre for at holde sig selv sikre. Heldigvis, i dette særlige tilfælde, kan Android's design hjælpe dem.
APK-filer fra tredjepartskilder kan være farlige
Avasts forskere videresendte deres fund til Google, og selvom du kan finde en app kaldet "Calculadora de Moneda" på Google Play, skal den ondsindede applikation nu fjernes. Det skal dog siges, at malware i dette særlige tilfælde faktisk ikke blev uploadet i Play-butikken. I dette angreb fungerede valutaomregneren som en dropper og downloadede APK-nyttelasten fra hackernes C&C.
Afhængig af versionen viser Android adskillige advarsler og beder om tilladelser, før den lader en APK-fil køre på enheden. Ældre inkarnationer af Googles mobile operativsystem giver dig ikke mulighed for at installere en APK-fil, medmindre du ændrer nogle af standardindstillingerne.
Dette skyldes, at selv om malware hver gang og igen vises i Play-butikken, distribueres Android-trusler via APK-filer, der er vært på tredjepartswebsteder. Android's udviklere ved, hvor stor risikoen for at køre sådanne filer er, og de forsøger at advare dig om det. Alt hvad du skal gøre er at lytte.
