Ravasz technikával telepítenek káros kódokat Androidra

 

2021. augusztus és november között négy különböző banki trójai kampány terjedt a Google Play alkalmazásboltban, a különböző dropper alkalmazások (olyan telepítőcsomag, amely önmagában nem tartalmaz kártékony komponenst, azokat a telepítés után tölti le, így a támadók megkerülhetik a vírusvédelmi megoldásokat) több mint 300 000 fertőzést eredményeztek.

A szóban forgó –  kimondottan okostelefonokra tervezett – káros programok az Anatsa (más néven TeaBot), az Alian, az ERMAC és a Hydra, amelyek a felhasználók tudta nélkül, egy segédprogram (Automatic Transfer System – ATSs) segítségével felhasználói jelszavakat, az SMS alapú kétfaktoros azonosításhoz kapott kódokat, képernyőképeket, billentyűleütéseket rögzítenek, valamint törlik a felhasználók bankfiók regisztrációját. A trójai programok terjesztésére használt alkalmazások listája a forráscikkben érhető el, a listában található applikációk idő közben eltávolításra kerültek a Play áruházból.

Mivel a Google nemrég korlátozásokat vezetett be a hozzáférési engedélyekre vonatkozóan, a támadók más módszerekhez folyamodnak a rosszindulatú programok terjesztéséhez. Például várhatóan egyre népszerűbb megoldás lesz az ún. verziókövetéses fertőzés, amikor a felhasználók kezdetben egy még „tiszta” verziót töltenek le, majd az alkalmazás egy frissítésével kerül káros program az eszközre. Egy másik elterjedt módszer, amikor a támadók a dropper alkalmazáshoz tartozó command-and-control (C2) weboldalt is meghamisítják, hogy elkerüljék a hagyományos észlelési módszereket, sőt az sem ritka, hogy a támadók manuálisan indítják a dropper alkalmazásokba rejtett trójai programok telepítését.

(thehackernews.com)