Týchto 10 aplikácií si ihneď odstráň z telefónu. Cez Obchod Play si si mohol stiahnuť vírus do mobilu. Majú státisíce stiahnutí!
Bezpečnostní analytici varujú pred novou hackerskou kampaňou, ktorá zasiahla Obchod Play. Na tieto aplikácie si daj pozor, vybielia ti účet.
Ešte v marci 2023 výskumníci z ESETu objavili časti malvéru, ktoré sa ukrývali v modifikáciách rôznych četovacích aplikácií. Škodlivý softvér prehľadával galériu užívateľov v nádeji, že nájde dáta, ktoré by kyberzločinca dostali do kryptopeňaženky obete, informuje Securelist.
Modifikácie na populárne aplikácie môžu byť dvojsečná zbraň. Mnohé sú bezpečné a ponúkajú užívateľom špeciálne funkcie, napríklad monitorovanie toho, kto ti zrušil sledovanie, kto navštevuje tajne tvoj profil alebo ti dovoľujú prečítať si správu bez toho, aby sa druhej strane ukázalo, že si si ju zobrazil. Na druhú stranu ale ide o neoficiálny softvér. Modifikácie, alebo skrátene módy, vytvárajú iní užívatelia a veľmi ľahko ti k novým funkciám vedia pribaliť malvér.
Pozorovaná kampaň cielila na Android a Windows užívateľov a ako to pri väčšine podobných módov býva, šírila sa cez neoficiálne zdroje. Ako sme spomenuli, táto kampaň prebehla pred pár rokmi. Bezpečnostní analytici ale koncom minulého roka pozorovali začiatok ďalšej, ktorá využívala podobné taktiky. Túto hackerskú kampaň nazvali SparkCat a môže prebiehať do dnešného dňa.
Útoky sú finančne motivované
Bezpečnostní experti si všimli, že prvá aplikácia, ktorá so sebou niesla škodlivý kód, bola aplikácia na doručovanie jedla. Táto aplikácia sa nazýva ComeCome a v čase výskumu ju bolo možné stiahnuť z Google Play. Bezpečnostní analytici upozorňujú, že mala viac ako 10-tisíc stiahnutí. Spočiatku je aplikácia neškodná. Aktualizáciou sa však stiahne kód, ktorý aktivuje malvérový SDK kit s názvom Spark. Spočiatku bol tento kit skrytý, preto ho neodhalili bezpečnostné systémy.
Po aktivácii sa malvér pokúsi pripojiť na servery útočníka. Ak sa mu ale nepodarí stiahnuť konfiguračné súbory, dokáže fungovať aj tak, no použije predvolené nastavenia. Bezpečnostní analytici vysvetľujú, že keď užívateľ začne čet so zákazníckou podporou, malvérový komponent získa prístup do galérie zariadenia. Po prvom spustení zákazníckej podpory sa vyžiada povolenie o prístup ku galérií, ktoré prechádza “sedliackym rozumom”. Užívateľ si povie, že ak je niečo zle, môže v budúcnosti posielať fotografie a preto aplikácia potrebuje povolenie ku galérií.
Neprehliadni
Keď užívateľ povolí prístup ku galérii, malvér začína galériu prehľadávať. Jeho cieľom je nájsť akýkoľvek súbor, ktorý by mohol útočníkom uľahčiť prístup ku kryptopeňaženke obete, za predpokladu, že takú peňaženku má. Vhodné obrázky vyhľadáva na základe niekoľkých parametrov. Keď nájde všetky vhodné obrázky, zo zariadenia ich exfiltruje v troch krokoch. V prvom kroku sa odošle požiadavka s kódmi obrázkov na C2 server hackera. Následne sa obrázky nahrajú buď na Amazon cloud alebo na “rust” server. Následne sa posiela odkaz na obrázky na C2 server útočníka.
“Zaujímalo nás, aké obrázky hackeri hľadajú. Preto sme poslali požiadavku na C2 server útočníkov, ktorý nám následne zaslal kľúčové slová, ktoré malvér vyhľadával. Všimli sme si, že útočníci vyhľadávali v niekoľkých jazykoch, vrátane čínštiny, japončiny, kórejčiny, angličtiny, češtiny, francúzštiny, taliančiny, poľštiny a portugalčiny. Kľúčové slová nám odhalili, že hackeri sú finančne motivovaní,” hovoria bezpečnostní experti zo Securelist.
Niektoré aplikácie sú stále v Obchode play
Hackeri cielili na obnovovacie frázy, ktoré môže užívateľ použiť v prípade strateného prístupu ku kryptopeňaženkám. Ako sme už spomenuli, prvá aplikácia so škodlivým kódom bola ComeCome, no tá nebola jediná. Čoskoro sa objavilo niekoľko ďalších aplikácií. Tie sa zameriavali na rôzne funkcie a dokopy si ich stiahlo viac ako 242-tisíc užívateľov. ComeCome už bola z Obchodu play vymazaná, no ďalšie aplikácie ostávajú v obchode s aplikáciami do dnešného dňa. Google už o aplikáciách vie, otázkou ostáva, kedy ich stiahne.
Kyberzločinci operujú vo viacerých jazykoch vrátane češtiny. Je preto šanca, že kampaň prebieha aj na našom území.
Na tieto aplikácie si daj pozor:
- com.crownplay.vanity.address
- com.atvnewsonline.app
- com.bintiger.mall.android
- com.websea.exchange
- org.safew.messenger
- org.safew.messenger.store
- com.tonghui.paybank
- com.bs.feifubao
- com.sapp.chatai
- com.sapp.starcoin
Komentáre