Aplicatii din PlayStore infectate cu Malware

Sencuart

Active Member
Registered
Banned
Inca o zi, inca un malware Android care vizeaza clientii Magazin Play. De data asta, insa, malware-ul are drept scop deturnarea conturilor Facebook si Google Play.

Cercetatorii Trend Micro au identificat un nou malware Android numit GhostTeam. Este capabil sa fure datele Facebook dupa infectarea dispozitivelor. Malware-ul este atat de bine ascuns, incat utilizatorii nu suspecteaza nimic cand il instaleaza. Cercetarile sugereaza ca in prezenta virusul exista In 53 de aplicatii diferite. Una dintre aceste aplicatii infectate are peste 100.000 de descarcari.

Obiectivele proeminente ale GhostTeam includ utilizatorii din Brazilia, India si Indonezia, dar cercetatorii considera ca aceasta campanie se va raspandi si in alte regiuni, probabil in SUA, considerand ca Magazinul Google Play a gazduit, fara sa stie, aplicatii rau intentionate din aprilie 2017.

Ca si alti malware Android, GhostTeam este, de asemenea, capabil sa efectueze o varietate de sarcini. In principiu, fura datele Facebook, fapt care cercetatorii Trend Micro cred ca ar putea fi o Incercare de a construi asa-zisa "armata zombie". Obiectivul lor, speculeaza cercetatorii, este raspandirea articolelor de stiri neasteptate, false, raspandirea malware-ului de minare crypto si afisarea de anunturi pe dispozitivele vizate pentru a genera venituri din click-uri.

Aplicatiile in care este ascuns acest program malware ascuns si daunator sunt aplicatii care par a fi obisnuite, cum ar fi app ce te ajuta sa descarci poze si video din retele de socializare, lanterne, scanere QR si multe altele. Trebuie remarcat faptul ca malware-ul nu se descarca odata cu instalarea acestor aplicatii, ci, la fel ca si alte programe malware , implica un proces de atac in mai multe etape, astfel incat sa pastreze ascunse sarcinile si in final lovitura de gratie.

Dupa ce aplicatia infectata este descarcata din Magazin Play, verifica daca ruleaza pe un VM Android sau pe un emulator pentru a-si ascunde codul de profesionistii din domeniul securitatii. Dupa ce îsi da seama ca ruleaza pe un dispozitiv fizic, descarca fisierele necesare GhostTeam sub forma aplicatiei Google Play Services. Cand utilizatorul deschide Facebook sau Google Play, apare un popup care cere sa instaleze aplicatia falsa Servicii Google Play si solicita, de asemenea, permisiuni la nivel de administrator.

Ulterior, ori de cate ori utilizatorul deschide Facebook pentru prima data, este încarcata o pagina WebView falsa, care solicita utilizatorului sa-si verifice contul Facebook. Malware-ul captureaza ID-ul de e-mail si parola si îl trimite imediat la serverul lor. Daca 2FA nu este activat, atacatorii ar accesa cu usurinta contul.

Pentru a ramane protejat, trebuie sa instalati o aplicatie anti-virus fiabila si, înainte de a descarca o aplicatie, verificati recenziile, comentariile si evaluarile. Daca banuiti ceva, nu îl descarcati deloc. În plus, trebuie sa pastrati dispozitivul Android actualizat cu cele mai recente patch-uri de securitate.

Daca deveniti cumva prada infectiei GhostTeam, puteti dezactiva permisiunile aplicatiei din Setari. În cele din urma, este foarte important sa activati autentificarea 2FA (autentificare prin doi factori) pentru Facebook si toate celelalte conturi de social media ori de cate ori este disponibila.

Trend Micro a informat deja Google in privinta existentei aplicatiilor infectate si acestea au fost eliminate. De asemenea, compania a actualizat serviciul Google Play Protect pentru a detecta GhostTeam.
 
Ultima editare:
Loading...
Back
Sus