Varoitus: poista nämä haittaohjelmia levittävät virustorjuntasovellukset (Sharkbot) nyt

Η Check Point Research (CPR) on havainnut kuusi sovellusta Pelaa Store Googlen, jotka levittävät haittaohjelmia esiintymällä virustentorjuntaratkaisuina.

Γtunnetaan sharkbot, haittaohjelmat varastavat käyttäjätiedot ja pankkitiedot. Hänen tutkimuksensa aikana CPR laskettu yli 1.000 ainutlaatuista IP-osoitetta tartunnan saaneiden laitteiden osoitteet pääasiassa Yhdistyneessä kuningaskunnassa ja Italiassa. Kuitenkin hänen tilastonsa Google Play Store paljasti, että haitallisia sovelluksia ladattiin enemmän kuin 11.000 ajat.

Se sharkbot houkuttelee uhrinsa hälytyksellä työntää ja huijata käyttäjiä syöttämään tunnistetietoja ympäristöihin, jotka jäljittelevät tiedonsyöttölomakkeita. THE CPR epäilee uhkan olevan venäjänkielinen ja varoittaa Android-käyttäjiä ympäri maailmaa olemaan erityisen varovaisia ennen kuin lataavat virustorjuntaratkaisuja Pelaa Store.

Se 62% uhreista löydettiin Italiasta, 36% Iso-Britanniassa, 2% toisissa maissa
Uhkaoperaattorit ovat ottaneet käyttöön maantieteellisen aidan, joka jättää huomiotta laitteen käyttäjät Kiinassa, Intiassa, Romaniassa, Venäjällä, Ukrainassa ja Valko-Venäjällä
CPR ilmoitti asiasta välittömästi hänen löydöstään Googlessa, joka poisti haitalliset sovellukset

Η Check Point Research (CPR) Hän löysi kuusi hakemusta jotka levittävät pankkihaittaohjelmia Google Play Kaupassa virustorjuntaratkaisuiksi naamioituina. Haittaohjelma, joka tunnetaan nimellä "sharkbotVarastaa Android-käyttäjien tunnistetiedot ja pankkitiedot. The sharkbot houkuttelee uhrinsa lisäämään valtuustietonsa ikkunoihin, jotka jäljittelevät valtuustietojen syöttölomakkeita. Kun käyttäjä syöttää tietonsa sinne, vaarantuneet tiedot lähetetään haitalliselle palvelimelle. THE CPR havaitsi, että haittaohjelmien tekijät olivat ottaneet käyttöön maantieteellisen paikannusominaisuuden, joka jättää huomiotta laitteen käyttäjät Kiina, Intia, Romania, Venäjä, Ukraina tai Valko-Venäjä.

Kuusi haitallista sovellusta

Neljä sovelluksista tuli heidän kolmelta kehittäjätililtä Loput Adamcik, Adelmio Pagnotto ja Bingo Like Inc. Kun CPR tarkisti näiden tilien historian, he havaitsivat, että kaksi niistä oli aktiivisia syksyllä 2021. Osa näille tileille linkitetyistä sovelluksista poistettiin Google Playsta, mutta ne ovat edelleen olemassa epävirallisilla markkinoilla. Tämä voi tarkoittaa, että sovellusten takana oleva henkilö yrittää pysyä "tutkan alla" samalla kun hän harjoittaa haitallista toimintaa.

Uhrit

CPR pystyi keräämään tilastoja viikon ajan. Tänä aikana hän laski enemmän kuin 1.000 IP-uhria. Joka päivä uhrien määrä kasvoi noin 100:lla. Hänen tilastonsa mukaan Google Play, CPR:n havaitsemat kuusi haitallista sovellusta ladattiin yli 11.000 XNUMX kertaa. Suurin osa uhreista on Isossa-Britanniassa ja Italiassa.

Kaavio 2 % uhreista maittain

Hyökkäyksen metodologia

Motivoi käyttäjää myöntämään sovelluksen käyttöoikeudet
Tämän jälkeen haittaohjelma saa hallintaansa suuren osan uhrin laitteesta
Uhkien ottajat voivat myös lähettää uhreille push-hälytyksiä, jotka sisältävät haitallisia linkkejä

Hyökkäyksen yksityiskohdat

CPR:llä ei ole tarpeeksi tietoa, jotta vastuu voidaan määrittää tietylle paikalle. Voimme olettaa, että haittaohjelmien tekijät puhuvat venäjää. Lisäksi haittaohjelma ei suorita haitallista toimintaansa, jos laite sijaitsee paikallisesti Kiinassa, Intiassa, Romaniassa, Venäjällä, Ukrainassa tai Valko-Venäjällä.

Ilmoitamme vastuullisesti

Heti löydettyään nämä Sharkbotia levittävät sovellukset CPR ilmoitti havainnoistaan Googlelle. Tarkastettuaan sovellukset Google poisti nämä sovellukset pysyvästi Google Play Kaupasta. Samana päivänä CPR raportoi havainnoista Googlelle, NCC-tiimille julkaistu erillinen Sharkbotin tutkimus, joka vetoaa yhteen haitallisista sovelluksista.

Hänen kommenttinsa Aleksanteri Chailytko, kyberturvallisuus, tutkimus- ja innovaatiopäällikkö, Check Point -ohjelmisto:

Olemme löytäneet kuusi sovellusta Google Play Kaupasta, jotka levittävät Sharkbot-haittaohjelmia. Tämä haittaohjelma varastaa käyttäjätietoja ja pankkitietoja. Se on selvästi erittäin vaarallista. Asennusten lukumäärän perusteella voidaan olettaa, että uhkatekijä on onnistuneesti valinnut tavan levittää haittaohjelma, valinnut strategisesti käyttäjien luottaman sovellusten sijainnin Google Playssa. Merkittävää tässä on myös se, että uhrien kantajat lähettävät uhreille haitallisia linkkejä sisältäviä viestejä, mikä johtaa laajaan käyttöön. Kaiken kaikkiaan push-viestien käyttö uhkaamalla käyttäjiä vastaamaan käyttäjille on epätavallinen levitystekniikka.

Mielestäni kaikkien Android-käyttäjien on tärkeää tietää, että heidän on oltava erittäin varovaisia, ennen kuin he lataavat minkä tahansa virustorjuntaratkaisun Play Kaupasta. Se voi olla Sharkbot.

Suojausvinkkejä Android-käyttäjille

Asenna vain luotettujen ja vahvistettujen julkaisijoiden sovelluksia.
Jos näet sovelluksen uudelta julkaisijalta, etsi sellainen luotettavalta julkaisijalta.
Ilmoita Googlelle havaitsemistasi epäilyttäviltä sovelluksista.

Älä unohda seurata sitä Xiaomi-miui.gr at Google Uutiset saada heti tiedon kaikista uusista artikkeleistamme! Jos käytät RSS-lukijaa, voit myös lisätä sivumme listallesi seuraamalla tätä linkkiä >> https://news.xiaomi-miui.gr/feed/gn

Varoitus: Poista nämä haittaohjelmia (Sharkbot) levittävät virustorjuntasovellukset välittömästi