Calculadora de Moneda-appen på Google Play gömde den skadliga Cerberus Trojan

Cerberus Android Trojan

Google har fått en hel del kritik för att ha låtit för mycket skadlig programvara på Google Play, och du kan säga att det finns en mycket god anledning till detta. Jämfört med Apple har Google antagit en mycket mer liberal politik när det gäller att tillåta appar att publiceras i Play-butiken, och frekvensen med vilken skadlig programvara glider genom sprickorna visar att kontrollerna inte är tillräckligt noggranna. Med det sagt, ibland är hackarna särskilt fast beslutna att hålla sin skadliga avsikt hemlig. I går berättade till exempel forskare från Avast om de smarta tricks som cyberbrottslingar har använt för att dölja en ny attack mot spanska användare.

Hackare publicerade en valutaomvandlare på Google Play

Operationen började redan i mars när operatörerna av Cerberus banks trojan publicerade en app i Android: s officiella butik. Applikationen kallades "Calculadora de Moneda" (spanska för "valutakalkylator"), och hackarna hade absolut inga problem med att köra den förbi Googles säkerhetskontroller.

Det beror på att det inte var något skadligt med det. Den ursprungliga versionen av Calculadora de Moneda var helt godartad och fungerade till och med som en valutaomvandlare. Målet var att tjäna användarnas förtroende och tjäna det. Enligt Avast hade valutakonverteringsappen för ett par dagar sedan cirka 10 tusen nedladdningar.

Tidslinjen är inte helt klar, men vid någon tidpunkt mellan mars och juli började det skadliga skedet av operationen. Hackarna pressade en uppdatering som innehöll några koderader som senare skulle ladda ner och installera Cerberus. Men de hade ingen brådska med att utlösa det. Koden förblev vilande och aktiverades bara för ett par dagar sedan.

Skurkarna tog ut Cerberus bank-trojan för några dagar sedan

Den skadliga koden kontaktade skurkens Command and Control-server (C&C) och laddade ner en APK-fil, som, om den körs, skulle installera Cerberus banks trojan.

Cerberus är ett formidabelt hot. Det kanske bara har funnits i ett år eller så, men det har redan gjort sitt namn, och flera attacker under de senaste månaderna antyder att dess operatörer har ett särskilt intresse för spansktalande användare.

Avasts rapport säger inte vilken bankapplikation den riktar sig till, men den förklarar att den stjäl lösenord genom att rita ett överlag över appernas inloggningsformulär och filtrera in de angivna referenser. Trojanen har också möjligheten att läsa textmeddelanden och stjäla autentiseringskoder från appar som Google Authenticator, vilket innebär att den kan kringgå tvåfaktorsautentisering.

Det är svårt att säga hur många människor som drabbats, men som ni ser var alla utsatta för allvarlig risk. Det är bra att attacken nu är över.

Distribueringen har slutat... för tillfället

Appen Calculadora de Moneda började ladda ner Cerberus någon gång den 6 juli, men bara några timmar senare slutade distributionen. C&C och nyttolasten för skadlig programvara blev inaktiv, och appen för valutaomvandlare fortsatte att fungera som normalt.

Det kan finnas några orsaker till skurkarnas beslut att förkorta kampanjen. De hoppas kanske att den mindre attacken kommer att hjälpa dem att undvika upptäckt. Alternativt kan deras planer ha förändrats efter att Avasts forskare avlyssnade kampanjen. Vi borde inte rabattera den dystra möjligheten att detta är ett test som föregår en större attack, heller.

Hur som helst bör användarna vara medvetna om risken och de måste veta vad de ska göra för att hålla sig säkra. Tack och lov, i det här fallet, kan Android's design hjälpa dem.

APK-filer från tredje part kan vara farliga

Avasts forskare vidarebefordrade sina resultat till Google, och även om du kan hitta en app som heter "Calculadora de Moneda" på Google Play, bör den skadliga applikationen nu tas bort. Det måste sägas att i det här fallet skadlig programvara faktiskt inte laddades upp i Play-butiken. I denna attack fungerade valutakonverteraren som en dropper och laddade ner APK-nyttolasten från hackarens C&C.

Beroende på version kommer Android att visa många varningar och kommer att be om behörigheter innan den låter en APK-fil köras på enheten. Äldre inkarnationer i Googles mobila operativsystem låter dig inte installera en APK-fil om du inte ändrar några av standardinställningarna.

Detta beror på att även om skadlig programvara visas i Play-butiken då och då, för det mesta, distribueras Android-hot via APK-filer som värdas på tredjepartswebbplatser. Android: s utvecklare vet hur stor risken för att köra sådana filer är, och de försöker varna dig för det. Allt du behöver göra är att lyssna.

År Duran
July 8, 2020
Trojan
Svenska
July 8, 2020
Trojan

Populära inlägg

Microsoft varnar statligt stödda hotaktörer använder AI i...

4 days sedan

Trojan Al11 Detektering av skadlig programvara

11 months sedan

Pinaview är en fullfjädrad adware-app

10 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

7 months sedan

Vad är Lucky Ransomware?

7 months sedan

"American Express - Uppdatera din kontoinformation"...

6 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.