Malware Sharkbot, ktorý kradne peniaze, hlási návrat. Do telefónov sa dostal cez aplikácie z obchodu Play
Ďalší problém Obchodu Play. Znovu ponúkal aplikácie, ktoré boli infikované starým známym malwarom Sharkbot.
Oficiálny obchod s aplikáciami pre používateľov operačného systému Android hlási ďalší problém. V ponuke aplikácií sa totiž znovu objavili také, ktoré boli infikované škodlivým kódom. Išlo o malware Sharkbot, ktorý už narobil isté problémy začiatkom tohto roka. Jeho nová verzia je obohatená o širší zásah, ktorý sa týka viacerých krajín Európy. Na informáciu upozornil web fox-it.com.
Pozmenená technika inštalácie
Je vidieť, že obranný systém Obchodu Play sa vylepšuje, no stále sa v ňom nájdu nejaké tie medzery. Aj preto musel Sharkbot pozmeniť inštaláciu samotného malwaru. V minulosti sa tento malware stiahol v podobe aktualizácie ihneď po inštalácii aplikácie. Táto inštalácia bola vykonaná automaticky ihneď po udelení potrebných povolení. Povolenia sa ale začali oveľa viac kontrolovať a preto útočníci presedlali na trochu riskantnejšiu techniku, ktorú je ale omnoho ťažšie vystopovať.
Škodlivý kód sa stiahne, no inštaláciu falošnej aktualizácie musí potvrdiť samotný používateľ. To určite zníži počet obetí, no takáto technika prejde zabezpečovacím systémom Obchodu Play omnoho jednoduchšie.
Zaujímavé je aj fungovanie danej aplikácie. Tá si totiž pred inštaláciou škodlivého kódu preskenuje zariadenie, aby našla vhodné bankové aplikácie, na ktoré cieli. Podľa kódu SIM karty taktiež zistí krajinu, v ktorej sa obeť nachádza. Následne vyhodnotí, či je vhodné stiahnuť škodlivý kód a vykonať danú operáciu alebo nie. V minulosti boli podporované krajiny Taliansko a Spojené kráľovstvo. Tento zoznam sa ale rozrástol o Španielsko, Austráliu, Poľsko, Nemecko, Spojené štáty americké, Rakúsko a ďalšie krajiny. Zároveň sa preto očakáva rozšírenie o banky, ktoré poskytujú služby v týchto krajinách.
V minulosti malware využíval kombináciu vytvorenia kópie prihlasovacej stránky, ktorou prekryl oficiálny web či aplikáciu a keyloggera, ktorý zaznamená každý znak, ktorý zadáte pomocou klávesnice. V tejto novšej verzii sa ale podľa všetkého využíva už iba keylogger, ktorý ale vie čítať aj informácie, ktoré sú zobrazené v bankovej aplikácii. Cieľom sú najmä heslá ale aj údaje o zostatku na účte.
Neprehliadnite
O aké aplikácie ide?
Vo výskume webu Fox-IT boli objavené dve aplikácie, ktoré obsahovali tento škodlivý kód. Konkrétne išlo o aplikácie Mister Phone Cleaner a Kylhavy Mobile Security. Obe aplikácie boli k dnešnému dňu stiahnuté z Obchodu Play, no to nebráni ich činnosti v zariadeniach, v ktorých sú už nainštalované. Ak niektorú z aplikácií máte vo svojom zariadení, tak ju urýchlene vymažte.
Aplikácie boli používateľmi stiahnuté niekoľko desaťtisíc raz. Rovnako ale treba uviesť, že v obchode môžu byť i iné aplikácie, ktoré neboli ešte identifikované a čakajú na svoju príležitosť.
Komentáre