Η Check Point-Forschung (HLW) hat sechs Anwendungen in erkannt Google Play von Google, die Malware verbreiten, indem sie vorgeben, Antivirenlösungen zu sein.
Γbekannt als Haibot, Malware stiehlt Zugangsdaten und Bankinformationen. Während ihrer Recherche hat die CPR überzählt 1.000 eindeutige IPs Adressen infizierter Geräte, hauptsächlich im Vereinigten Königreich und in Italien. Allerdings seine Statistiken Google Play Store ergab, dass die schädlichen Anwendungen mehr als heruntergeladen wurden 11.000 mal.
Die Haibot lockt seine Opfer durch Warnungen drücken und Benutzer dazu verleiten, Anmeldeinformationen in Umgebungen einzugeben, die Dateneingabeformulare imitieren. DAS CPR vermutet, dass die Bedrohung russischsprachig ist, und warnt Android-Nutzer auf der ganzen Welt, besonders vorsichtig zu sein, bevor sie Antivirus-Lösungen herunterladen Google Play.
- Die 62% der Opfer wurde in Italien gefunden, 36% im Vereinigten Königreich, 2% in anderen Ländern
- Bedrohungsbetreiber haben geografisches Fencing implementiert, das Gerätebenutzer in China, Indien, Rumänien, Russland, der Ukraine und Weißrussland ignoriert
- CPR meldete das sofort ihre Ergebnisse auf Google, wodurch die schädlichen Anwendungen entfernt wurden
Η Check Point-Forschung (HLW) Er entdeckte sechs Bewerbungen die als Antivirus-Lösungen getarnt Banking-Malware im Google Play Store verbreiten. Malware, bekannt als "HaibotStiehlt Zugangsdaten und Bankdaten von Android-Benutzern. Das Haibot verleitet seine Opfer dazu, ihre Anmeldeinformationen in Fenster einzugeben, die Anmeldeformulare imitieren. Wenn ein Benutzer dort seine Daten eingibt, werden die kompromittierten Daten an einen bösartigen Server gesendet. DAS CPR fanden heraus, dass Malware-Ersteller eine Geolokalisierungsfunktion implementiert hatten, die Gerätebenutzer in der ignoriert China, Indien, Rumänien, Russland, Ukraine oder Weißrussland.
Die sechs bösartigen Anwendungen
Vier der Bewerbungen kamen von ihren drei Entwicklerkonten Rest Adamcik, Adelmio Pagnotto und Bingo Like Inc. Als CPR den Verlauf dieser Konten überprüfte, stellte es fest, dass zwei von ihnen im Herbst 2021 aktiv waren. Einige der mit diesen Konten verknüpften Apps wurden aus Google Play entfernt, existieren aber immer noch auf informellen Märkten. Dies könnte bedeuten, dass die Person hinter den Anwendungen versucht, „unter dem Radar“ zu bleiben, während sie sich weiterhin an böswilligen Aktivitäten beteiligt.
Die Opfer
CPR konnte eine Woche lang Statistiken sammeln. In dieser Zeit zählte er mehr als 1.000 IP-Opfer. Jeden Tag stieg die Zahl der Opfer um etwa 100. Laut seiner Statistik Google Playwurden die sechs von CPR entdeckten schädlichen Anwendungen mehr als 11.000 Mal heruntergeladen. Die meisten Opfer befinden sich im Vereinigten Königreich und in Italien.
Abbildung 2.% der Opfer pro Land
Die Methodik des Angriffs
- Motivieren Sie den Benutzer, einer Anwendung Zugriffsrechte zu erteilen
- Danach erlangt die Malware die Kontrolle über einen großen Teil des Geräts des Opfers
- Bedrohungsoperatoren können auch Push-Benachrichtigungen an Opfer senden, die bösartige Links enthalten
Einzelheiten des Angriffs
CPR verfügt nicht über genügend Daten, um die Verantwortung einem bestimmten Standort zuzuordnen. Wir können davon ausgehen, dass die Malware-Autoren Russisch sprechen. Darüber hinaus führt die Malware ihre schädliche Funktion nicht aus, wenn sich das Gerät lokal in China, Indien, Rumänien, Russland, der Ukraine oder Weißrussland befindet.
Wir kündigen verantwortungsvoll an
Unmittelbar nach dem Auffinden dieser Anwendungen, die Sharkbot verbreiten, teilte CPR seine Ergebnisse Google mit. Nach Überprüfung der Anwendungen hat Google diese Anwendungen dauerhaft aus dem Google Play Store entfernt. Am selben Tag, an dem CPR die Ergebnisse an Google, das NCC-Team, meldete veröffentlicht eine separate Recherche für Sharkbot, die eine der bösartigen Anwendungen zitiert.
Sein Kommentar Alexander Chailytko, Cyber Security, Research & Innovation Manager, Check Point Software:
Ich denke, es ist wichtig, dass alle Android-Benutzer wissen, dass sie sehr vorsichtig sein müssen, bevor sie eine Antivirenlösung aus dem Play Store herunterladen. Es könnte Sharkbot sein.
Sicherheitstipps für Android-Benutzer
- Installieren Sie nur Anwendungen von vertrauenswürdigen und verifizierten Herausgebern.
- Wenn Sie eine Anwendung von einem neuen Herausgeber sehen, suchen Sie nach einer von einem vertrauenswürdigen.
- Melden Sie Google alle scheinbar verdächtigen Anwendungen, auf die Sie stoßen.
Vergiss nicht, ihm zu folgen Xiaomi-miui.gr bei Google News um sofort über alle unsere neuen Artikel informiert zu werden! Wenn Sie einen RSS-Reader verwenden, können Sie unsere Seite auch zu Ihrer Liste hinzufügen, indem Sie einfach diesem Link folgen >> https://news.xiaomi-miui.gr/feed/gn
Folge uns auf Telegram damit Sie alle Neuigkeiten als Erster erfahren!