Calculadora de Moneda-appen på Google Play skjulte den ondsinnede Cerberus Trojan
Google har fått ganske mye kritikk for å ha latt for mye skadelig programvare på Google Play, og du kan si at det er en veldig god grunn til dette. Sammenlignet med Apple har Google vedtatt en mye mer liberal politikk når det gjelder å la apper bli publisert i Play-butikken, og hyppigheten som skadelig programvare glir gjennom sprekkene viser at sjekkene ikke er strenge nok. Når det er sagt, er noen ganger hackere spesielt fast bestemt på å holde sin ondsinnede hensikt hemmelig. I går fortalte for eksempel forskere fra Avast oss om de smarte triksene cyberkriminelle har brukt for å skjule et angrep på spanske brukere nylig.
Table of Contents
Hackere publiserte en valutakalkulator på Google Play
Operasjonen begynte helt tilbake i mars da operatørene av Cerberus banks trojan publiserte en app på Android's offisielle butikk. Applikasjonen ble kalt "Calculadora de Moneda" (spansk for "valutakalkulator"), og hackerne hadde absolutt ingen problemer med å kjøre den forbi Googles sikkerhetskontroller.
Det er fordi det ikke var noe ondsinnet med det. Den første versjonen av Calculadora de Moneda var fullstendig godartet, og den fungerte til og med som en valutakalkulator. Målet var å tjene brukernes tillit og tjene den, det gjorde det. Ifølge Avast hadde valutakonverteringsappen for et par dager siden rundt 10 tusen nedlastinger.
Tidslinjen er ikke helt klar, men på et tidspunkt mellom mars og juli begynte den ondsinnede fasen av operasjonen. Hackerne presset en oppdatering som inneholdt noen få kodelinjer som senere skulle laste ned og installere Cerberus. De hadde imidlertid ikke noe hastverk med å utløse det. Koden forble sovende og ble bare aktivert for et par dager siden.
Krokene satte ut Cerberus bank-trojan for noen dager siden
Den ondsinnede koden kontaktet skurkenes Command and Control server (C&C) og lastet ned en APK-fil, som, hvis den ble utført, ville installere Cerberus banks trojan.
Cerberus er en formidabel trussel. Det kan bare ha eksistert i et år eller så, men det har allerede gitt et navn for seg selv, og flere angrep de siste månedene antyder at operatørene har en spesiell interesse for spansktalende brukere.
Avasts rapport sier ikke hvilken bankapplikasjon den målretter seg mot, men den forklarer at den stjeler passord ved å tegne et overlegg over appenes påloggingsformer og filtrere de angitte legitimasjonene. Trojanen har også muligheten til å lese tekstmeldinger og stjele autentiseringskoder fra apper som Google Authenticator, noe som betyr at den er i stand til å omgå tofaktorautentisering.
Det er vanskelig å si hvor mange som ble rammet, men som du ser var de alle utsatt for alvorlig risiko. Det er bra at angrepet nå er over.
Utplasseringen har stoppet… foreløpig
Appen Calculadora de Moneda begynte å laste ned Cerberus på et tidspunkt 6. juli, men bare timer senere stoppet distribusjonen. C & C og nyttelasten til skadelig programvare ble inaktiv, og valutakonverteringsappen fortsatte å fungere som normalt.
Det kan være et par årsaker til at skurkenes beslutning om å kutte kampanjen blir kort. De håper kanskje at det mindre angrepet vil hjelpe dem med å unngå deteksjon. Alternativt kan planene deres ha endret seg etter at Avasts forskere avlyttet kampanjen. Vi bør heller ikke redusere den dystre muligheten for at dette er en test som går foran et større angrep.
Uansett skal brukerne være klar over risikoen, og de må vite hva de skal gjøre for å holde seg trygge. Heldigvis, i dette spesielle tilfellet, kan Android-design hjelpe dem.
APK-filer fra tredjepartskilder kan være farlige
Avasts forskere videresendte funnene sine til Google, og selv om du kan finne en app som heter "Calculadora de Moneda" på Google Play, skal den ondsinnede applikasjonen nå fjernes. Det må imidlertid sies at i dette spesielle tilfellet, skadelig programvare faktisk ikke ble lastet opp i Play-butikken. I dette angrepet fungerte valutakalkulatoren som en dropper og lastet ned APK nyttelasten fra hackernes C&C.
Avhengig av versjon vil Android vise mange advarsler og vil be om tillatelser før den lar en APK-fil kjøres på enheten. Eldre inkarnasjoner av Googles mobile operativsystem lar deg ikke installere en APK-fil med mindre du endrer noen av standardinnstillingene.
Dette skyldes at selv om skadelig programvare ikke vises i Play-butikken nå og da, for det meste, distribueres Android-trusler via APK-filer som er vert på tredjeparts nettsteder. Android's utviklere vet hvor stor risikoen for å kjøre slike filer er, og de prøver å advare deg om det. Alt du trenger å gjøre er å lytte.
