A Calculadora de Moneda App a Google Playen elrejtette a rosszindulatú Cerberus tróját

Cerberus Android Trojan

A Google meglehetősen sok kritikát kapott, mert túl sok rosszindulatú szoftvert hagyott a Google Playen, és elmondhatjuk, hogy ennek nagyon jó oka van. Az Apple-hez képest a Google sokkal liberálisabb politikát fogadott el az alkalmazásoknak a Play Áruházban való közzétételére vonatkozóan, és a rosszindulatú programok átcsúszásának gyakorisága azt mutatja, hogy az ellenőrzések nem elég szigorúak. Ennek ellenére a hackerek néha különösen eltökélt szándékukban állnak titokban tartani a rosszindulatú szándékokat. Tegnap például az Avast kutatói meséltek nekünk az okos trükkökről, amelyeket a számítógépes bűnözők a spanyol felhasználók elleni közelmúltbeli támadás elrejtésére használtak.

A hackerek közzétették a pénzváltót a Google Playen

A művelet márciusban kezdődött, amikor a Cerberus banki trójai operátorai közzétettek egy alkalmazást az Android hivatalos áruházában. Az alkalmazás neve "Calculadora de Moneda" (spanyolul a "Pénznem kalkulátor" számára) volt, és a hackereknek nem volt semmilyen probléma a futtatásával a Google biztonsági ellenőrzéseinél.

Ennek oka, hogy nem volt semmi rosszindulatú benne. A Calculadora de Moneda eredeti változata teljesen jóindulatú volt, és még valutaátváltóként is működött. A cél az volt, hogy megszerezzék a felhasználók bizalmát, és megszerezzék. Avast szerint néhány nappal ezelőtt a valutaátváltó alkalmazásnak körülbelül 10 ezer letöltése volt.

Az idővonal nem teljesen egyértelmű, de március és július között valamikor kezdődött a művelet rosszindulatú stádiuma. A hackerek frissítést küldtek, amely néhány sornyi kódot tartalmazott, amely később letölti és telepíti a Cerberust. De nem sietették ezt kiváltani. A kód nem működött, és csak néhány nappal ezelőtt aktiválta.

A csalók néhány nappal ezelőtt telepítették a Cerberus banki trójai

A rosszindulatú kód felvette a kapcsolatot a csalók Command and Control szerverével (C&C), és letöltött egy APK fájlt, amely végrehajtás esetén telepíti a Cerberus banki trójai.

A Cerberus félelmetes fenyegetés. Lehet, hogy csak körülbelül egy éve fennállt, de már meg is nevezte magát, és az elmúlt néhány hónapban elkövetett számos támadás azt sugallja, hogy üzemeltetői különös érdeklődést mutatnak a spanyolul beszélő felhasználók iránt.

Az Avast jelentése nem mondja ki, hogy mely banki alkalmazást célozza, de elmagyarázza, hogy a jelszavakat ellopja azáltal, hogy átfedést rajzol az alkalmazások bejelentkezési űrlapjaira és kiszűrjük a megadott hitelesítő adatokat. A trójai továbbá képes szöveges üzeneteket olvasni és hitelesítő kódokat ellopni olyan alkalmazásokból, mint a Google Authenticator, ami azt jelenti, hogy képes megkerülni a két tényezős hitelesítést.

Nehéz megmondani, hogy hány embert szenvedtek el, de mint láthatja, mindannyian súlyos veszélybe kerültek. Jó dolog, hogy a támadás már véget ért.

A telepítés leállt... egyelőre

A Calculadora de Moneda alkalmazás július 6-án megkezdte a Cerberus letöltését, de néhány órával később a terjesztés megállt. A C&C és a rosszindulatú programok hasznos terhelése inaktívvá vált, és a valutaváltó alkalmazás továbbra is normálisan működött.

Néhány oka lehet annak, hogy a csalók úgy döntöttek, hogy rövidítik a kampányt. Remélhetik, hogy a kisebb támadás segít nekik elkerülni az észlelést. Alternatív megoldásként a tervek megváltozhattak, miután az Avast kutatói elfogták a kampányt. Nem szabad lecsökkennünk annak komor esélyét sem, hogy ez egy nagyobb támadást megelőző teszt.

Bármelyik eset is legyen, a felhasználóknak tisztában kell lenniük a kockázattal, és tudniuk kell, mit kell tenniük, hogy biztonságban maradjanak. Szerencsére ebben az esetben az Android tervezése segíthet nekik.

Harmadik féltől származó APK-fájlok veszélyesek lehetnek

Az Avast kutatói továbbították eredményeiket a Google-nak, és bár a Google Playen talál egy "Calculadora de Moneda" nevű alkalmazást, a rosszindulatú alkalmazást most el kell távolítani. Meg kell azonban mondani, hogy ebben az esetben a rosszindulatú szoftvert nem valóban töltötték fel a Play Áruházba. Ebben a támadásban a valutaváltó csepegőként cselekedett, és letöltötte az APK hasznos teherét a hackerek C&C-jéből.

A verziótól függően az Android számos figyelmeztetést jelenít meg, és engedélyeket kér, mielőtt lehetővé tenné az APK-fájl futtatását az eszközön. A Google mobil operációs rendszerének régebbi inkarnációi nem teszik lehetővé az APK-fájl telepítését, csak ha az alapértelmezett beállításokat megváltoztatja.

Ennek oka az, hogy bár a rosszindulatú programok gyakran és újra megjelennek a Play Áruházban, az Android fenyegetéseit általában harmadik felek webhelyein tárolt APK fájlok útján terjesztik. Az Android fejlesztői tudják, milyen nagy az ilyen fájlok futtatásának kockázata, és megpróbálják erről figyelmeztetni. Csak annyit kell tennie, hogy hallgat.

Duran -Ig
July 8, 2020
Trojan
Magyar
July 8, 2020
Trojan

Népszerű Bejegyzések

A Microsoft arra figyelmeztet, hogy az állam által támogatott...

4 days ezelőtt

Trojan Al11 Malware Detection

11 months ezelőtt

A Pinaview egy teljes funkcionalitású adware alkalmazás

10 months ezelőtt

„Az iCloudját feltörték” és „Az iPhone-ját feltörték” előugró...

7 months ezelőtt

Mi az a Lucky Ransomware?

7 months ezelőtt

„American Express – Frissítse fiókinformációit” E-mail átverés

6 months ezelőtt
Magyar
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Itthon

Termékek

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Támogatás

Súgó fájlok GYIK Downloads Inquiries & Support

Vállalat

Rólunk Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Adatvédelmi irányelvek Cookie-szabályzat Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

A Windows a Microsoft védjegye az Egyesült Államokban és más országokban.
A Mac, az iPhone, az iPad és az App Store az Apple Inc. védjegye az Egyesült Államokban és más országokban.
Az iOS a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegye az Egyesült Államokban és bizonyos más országokban.
Az Android és a Google Play a Google LLC védjegye.