Kyberturvallisuuteen erikoistuneen monikansallisen Trend Micron tietojen mukaan kyberrikollisten toteuttama kampanja käytti Google Play Kaupan sovelluksia käyttäjätietojen tallentamiseen asentamalla pankkihaittaohjelmia Android. Tietoverkkorikokset ovat yhä yleisempiä ja huolenpidon on oltava jatkuvaa! Jatka lukemista ja tarkista, mitkä sovellukset ovat kaapanneet pankkihaittaohjelmat Androidissa.
Lue lisää: 5 asiaa, jotka sinun on tehtävä pitääksesi matkapuhelimesi turvassa
Katso lisää
Varoitus: TÄMÄ myrkyllinen kasvi joutui nuoren miehen sairaalaan
Google kehittää tekoälytyökalua auttamaan toimittajia…
ymmärtää tapausta
Rikollisten käyttämät sovellukset tunnetaan nimellä "Android droppers", haittaohjelmien alatyyppi, joka on suunniteltu mahdollistamaan toisen haitallisen tiedoston suorittaminen. Tässä tapauksessa mukana on seitsemäntoista dropper-sovellusta eli DawDropperia, jotka esiintyvät tuottavuuden työkaluina ja apuohjelmina, kuten QR-koodinlukija ja asiakirjaskanneri. Käytetty termi (dropper) viittaa nimenomaan käyttäjien henkilötietojen hitaaseen ja täsmälliseen siirtoon.
Trend Micro on todennut, että DawDropper käyttää Firebase Realtime Database -nimistä online-tietokantaa, joka on pilvitallennus, jotta suojaustyökalut eivät havaitse niitä ja hankit dynaamisesti ladattavan osoitteen hyödyllinen kuorma.
Siten se tarkoittaa, että rikolliset toimivat pilvitallennustilan kautta, jossa on riittävästi tilaa latauksille. Yhtiö väittää, että GitHubille on tallennettu myös haitallisia ladattavia hyötykuormia.
Miten hyökkäykset toimivat
Dropperit ovat sovelluksia, jotka on suunniteltu läpäisemään Googlen sovelluskaupan turvatarkastukset. Niitä käytetään kuitenkin lataamaan haittaohjelmia, jotka hyökkäävät elektronisiin laitteisiin, kuten Octo (Coper), Hydra, Ermac ja TeaBot. Joten kaikki alkaa siitä, että käyttäjä lataa sovelluksen, ja asennuksen jälkeen alkaa hyökkäyssarja, jossa sovellukset, jotka tekevät osa DawDropperista muodostaa yhteydet pilvessä oleviin tietokantoihin vastaanottaakseen linkin haitalliseen sisältöön ja asentaakseen sen laite.
Kaikki järjestelmään liittyvät sovellukset on poistettu Play Kaupasta. Tarkista kuitenkin luettelo ja katso, oletko ladannut niitä muutaman viime kuukauden aikana:
- Call Recorder APK;
- VPN Rooster;
- Super Cleaner – hyper ja älykäs;
- Asiakirjan skanneri – PDF Creator;
- Universal SaverPro;
- Eagle valokuvaeditori;
- Call Recorder pro+;
- Extra Cleaner;
- CryptoUtils;
- FixCleaner;
- Just In: Video Motion;
- Lucky Cleaner;
- Yksinkertainen puhdistusaine;
- Unicc QR-lukija;
- com.myunique.sequencestore;
- com.flowmysequto.yamer;
- com.gaz.universalsaver.
Esimerkiksi Octo-haittaohjelma poistaa Google Play Protectin käytöstä ja käyttää etätietokonetta tallentaakseen uhrin laitteen näytön ja sen toimintoja, mukaan lukien luottamukselliset pankkitiedot, sähköpostin salasanat, sovellukset, jotka lähetetään palvelimelle etä.
Trend Micron mukaan yhä useammat kyberrikolliset erikoistuvat ja pyrkivät manipuloimaan myymälöiden turvamekanismeja ja keräämään tietoja suurimmalta joukolta käyttäjiä laittomasti. Sinun täytyy olla varovainen.