Wirusy na Androida - popularne i niebezpieczne zagrożenia

Android to system oparty na otwartym kodzie źródłowym, co ułatwia zadanie hakerom i przestępcom internetowym. Jakie wirusy czyhają na użytkowników Androida?

System operacyjny Android to oprogramowanie rozwijane przez firmę Google od 2008 roku. Opiera się ono na kodzie źródłowym Linuxa i jest niesamowicie uniwersalne. Dzięki możliwości głębokiej modyfikacji kodu źródłowego oraz dostosowania Androida do dowolnych potrzeb jest to najpopularniejszy system operacyjny na świecie. Oprogramowanie zadebiutowało z myślą o smartfonach i tabletach, ale obecnie znajdziemy je równie na smartwatchach, urządzeniach Smart Home, IoT, systemach multimedialnych w samochodach osobowych, bankomatach czy wielu specjalistycznych sprzętach.

Android posiada szereg zabezpieczeń, ale nie chronią one w pełni przed złośliwym oprogramowaniem
fot. Daniel Olszewski

Android posiada szereg zabezpieczeń, ale nie chronią one w pełni przed złośliwym oprogramowaniem

fot. Daniel Olszewski

W marcu 2022 roku pod kontrolą Androida pracowało 41,56% urządzeń podłączonych do Internetu. Na drugim miejscu znalazł się Windows z udziałem 31,15%, a podium zamknął iOS od Apple z udziałami na poziomie 16,85%.

Zobacz również:

  • Jeszcze kurz nie opadł, a Qualcomm już zapowiada nowe CPU
  • Poprawki błędów od Apple - iOS/iPadOS i visionOS zaktualizowane
  • Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Ze względu na ogromną popularność oraz otwarty kod źródłowy Android jest coraz popularniejszym celem wśród hakerów i cyberprzestępców, którzy wyspecjalizowali się w tworzeniu specjalnych programów z zaimplementowanymi kawałkami złośliwego kodu źródłowego. Rozwiązania tego typu z łatwością radzą sobie z pokonaniem zabezpieczeń wprowadzonych przez firmę Google. Część przestępców wykorzystuje pliki .APK wysyłane w wiadomościach e-mail lub linki przekierowujące z wiadomości SMS. Częstym działaniem jest również korzystanie z luk w zabezpieczeniach, które są aktualizowane przez firmę Google co najmniej raz w miesiącu, ale producenci sprzętu z Androidem często zapominają o ich implementacji na swoich urządzeniach.

W niniejszym materiale skupiamy się na najnowszych, najpopularniejszych oraz najgroźniejszych wirusach na Androida, które mogą trafić na służbowe telefony wykorzystywane w firmach na całym świecie. Przedstawiamy sposób ich działania oraz ostrzegamy przed konsekwencjami, z jakimi mogą się mierzyć użytkownicy korzystający z zainfekowanego urządzenia z Androidem.

Uwaga - wpis aktualizowany chronologicznie. Najnowsze aktualizacje znajdują się na dole tekstu

Dwa rodzaje wirusów na urządzeniach z Androidem

Android w przeciwieństwie do iOS jest systemem otwarto źródłowym. Oznacza to możliwość swobodnej modyfikacji oprogramowania i dostosowania go do własnych potrzeb. Nic nie stoi również na przeszkodzie, aby producenci korzystali z własnych sklepów z aplikacjami, a użytkownicy instalowali programy wprost z sieci lub innych niezweryfikowanych źródeł.

Złośliwe oprogramowanie na Androida możemy w największym uproszczeniu podzielić na dwie kategorie:

  • Aplikacje z oficjalnego sklepu z aplikacjami - Google Play
  • Aplikacje z innych źródeł

Złośliwe oprogramowanie, które przedostało się do Google Play to najczęściej najnowsze i najsprytniejsze wirusy, które potrafią obejść system zabezpieczeń Google Play Protect. Tego typu programy najczęściej udają klasyczne aplikacje przydatne w codziennym użytkowaniu np. czytnik kodów QR.

Google Play - oficjalny sklep z aplikacjami na Androida

Google Play - oficjalny sklep z aplikacjami na Androida

Drugim typem wirusów są aplikacje pozyskane z innych źródeł np. poprzez pobranie ich z poczty e-mail lub kliknięcie w link w przeglądarce sieciowej lub wiadomości SMS/MMS. Tego typu wirusy to doskonale znane i zidentyfikowane oprogramowanie, którego kod źródłowy jest znacznie mniej skomplikowany.

Aplikacja nie musi być zawirusowana, aby gromadzić dane o użytkownikach

Google posiada dosyć elastyczne zasady korzystania z oficjalnego sklepu z aplikacjami - Google Play. Oznacza to, że nie wszystkie programy znajdujące się w Sklepi Play posiadają politykę prywatności zgodną z przyjętymi w Unii Europejskiej normami. Niestety, ale na porządku dziennym są aplikacje, których polityka prywatności zezwala na jawne gromadzenie informacji o użytkowniku takich jak np. lokalizacja w czasie rzeczywistym lub autouzupełnianie w formularzach. Również na tego typu programy zwracamy uwagę w naszym materiale.

Jak działają wirusy na Androida?

Smartfony są obecnie naszymi najczęściej używanymi urządzeniami, na których gromadzimy mnóstwo danych wrażliwych. Dotyczy to zarówno urządzeń wykorzystywanych w celach prywatnych, jak również służbowych. Najczęściej złośliwe oprogramowanie napisane na Androida ma za zadanie wykraść dane wrażliwe np. dane kont bankowych lub zapisać nasz numer do płatnych usług Premium SMS. Część wirusów to oprogramowanie typu AdWare, które wyświetla reklamy w całym systemie operacyjnym. Nie brakuje również wirusów wykorzystujących moc obliczeniową urządzenia w różnych celach np. do kopania kryptowalut. Możliwości wykorzystania złośliwego oprogramowania na Androidzie są praktycznie nieograniczone - przedstawiliśmy jedynie najpopularniejsze możliwości jego użycia.

Niebezpieczne aplikacje na Androida

Poniżej umieściliśmy listę niebezpiecznych aplikacji na Androida. Są to programy, które nie posiadają w sobie złośliwego oprogramowania, ale ich polityka prywatności zakłada możliwość gromadzenia wrażliwych danych użytkownika lub gromadzenie danych, które nie są odpowiednio zabezpieczone przed dostępem osób trzecich. Są to głównie aplikacje z Chin oraz Bliskiego Wschodu. Część z nich służy do szerzenia dezinformacji w sieci. Wzrost tego typu zachowań obserwowany jest od inwazji Rosji na Ukrainę w lutym 2022 roku. Programy, które znajdują się na liście mają również skłonności do proszenia o pełne uprawnienia dostępu do plików, mikrofonów, aparatu oraz innych elementów, które nie są niezbędne do ich działalności.

Smartfon z Androidem
Źródło:  Andrew M / Unsplash

Smartfon z Androidem

Źródło: Andrew M / Unsplash

  • File Manager Pro - Manager SD Card/Explorer
  • VMOWO City: Speed Racing 3D
  • Barcode Scanner
  • Screen Stream Mirroring
  • QR Code - Scan and Read a Barcode
  • Period Tracker - Cycle Ovulation Women's
  • QR and Barcode Scan Reader
  • Wallpapers 4K, Backgrounds HD
  • Transfer Data Smart
  • Explorer File Manager
  • Today Weather Radar
  • Mobnet.io: Big Fish Frenzy
  • Clock LED
  • SuperVPN Free VPN Client
  • TapVPN Free VPN
  • Best Ultimate VPN - Fastest Secure Unlimited VPN
  • Korea VPN - Plugin for OpenVPN
  • Suma VPN-PRO(Fast & Unlimited & Security)
  • VPN Unblocker Free unlimited Best Anonymous Secure
  • VPN Download: Top, Quick & Unblock Sites
  • Super VPN 2019 USA - Free VPN, Unblock Proxy VPN
  • Secure VPN-Fast VPN Free & Unlimited VPN
  • Power VPN Free VPN
  • UC Browser
  • CLEANit
  • Dolphin Browser
  • BeatPlayer - com.crrl.beatplayers
  • Cake VPN - com.lazycoder.cakevpns
  • eVPN - com.abcd.evpnfree
  • Music Player - com.revosleap.samplemusicplayers
  • Pacific VPN - com.protectvpn.freeapp
  • QR/Barcode Scanner MAX - com.bezrukd.qrcodebarcode
  • QRecorder - com.record.callvoicerecorder
  • tooltipnatorlibrary - com.mistergrizzlys.docscanpro
  • Virus Cleaner
  • RT News
  • Super Clean – Master of Cleaner
  • Car Racing 2019
  • 4K Wallpaper (Background 4K Full HD)
  • Backgrounds 4K HD
  • QR Code Reader and Barcode Scanner Pro
  • SHAREit
  • Speed Radar Camera
  • Al-Moazin Lite (Prayer times)
  • Wi-Fi Mouse (Remote Control PC)
  • QR & Barcode Scanner (Developed by AppSource Hub)
  • Qibla Compass - Ramadan 2022
  • Simple Weather & Clock Widget (Developed by Difer)
  • Handcent Next SMS- Text With MMS
  • Smart kit 360
  • Full Quran M P3-50 Languages & Translation Audio
  • Audiosdroid Audio Studio DAW

Zainfekowane aplikacje na Androida

Wśród zainfekowanych aplikacji na Androida najpopularniejszym przykładem jest Barecode Scanner. To popularna aplikacja, która została pobrana ponad 10 milionów razy. Zintegrowano z nią AdWare, które przedostało się do Google Play i zainfekowało ponad 10 milionów urządzeń. Program został usunięty z Google Play w marcu 2021 roku. Barecode Scanner jest pierwszym przykładem tak dużego naruszenia bezpieczeństwa w oficjalnym sklepie z aplikacjami od Google.

Warto zwrócić uwagę na trojana BlackRock. Został on zintegrowany z fałszywą aplikacją Clubhouse w momencie, gdy ta nie była jeszcze dostępna na urządzenia z Androidem. Oprogramowanie przechwytywało hasła do popularnych usług - Facebooka, Twittera, Netflixa oraz ponad 400 innych usług.

Jednym z najnowszych wirusów na Androida jest FaceStealer. Przygotowano go z myślą o kradzieży tożsamości użytkowników. Trojan został ukierunkowany na wyłudzenie danych do logowania do Facebooka. Zaimplementowano go w aplikacjach, które zostały pobrane przez ponad 100 tysięcy osób. Oprogramowanie trafiło do Google Play.

AKTUALIZACJA 12.05.2022

Na przestrzeni ostatnich 30 dni do sieci trafiło kilka nowych zagrożeń, które stworzono specjalnie z myślą o systemie operacyjnym Android. Google zdecydowało się wydać nowe ostrzeżenie, które dotyczy złośliwego oprogramowania o nazwie Octo .Według ThreatFabric jest to trojan bankowy, który służy do przejęcia całkowitej kontroli nad zainfekowanym urządzeniem. Złośliwe oprogramowanie korzysta z najwyższych dostępnych w systemie operacyjnym Android uprawnień w celu kradzieży danych osobowych, plików oraz haseł do popularnych usług.

Google nie po raz pierwszy przestrzega użytkowników przed pobieraniem aplikacji. Krok ten pokazuje, że nawet pobierając programy z oficjalnego sklepu z aplikacjami nie możemy być w 100% pewni, ze są one bezpieczne dla naszego urządzenia. Z najnowszych badań wynika, że filtry Google Play Protect są w stanie wykryć jedynie 31% zidentyfikowanych zagrożeń. Według badań przeprowadzonych przez AV-Test, Google Play Protect nie potrafi rozpoznać najnowszych zagrożeń napisanych specjalnie z myślą o systemie operacyjnym Android. Narzędzie nie rozpoznało 20 z 29 szkodliwych aplikacji.

W sieci dużo mówi się o wirusach wykradających dane z popularnego komunikatora WhatsApp. Najnowszych z nich jest Android.Spy 4498. To nowoczesny wirus typu trojan, którego zadaniem jest kradzież danych znajdujących się na urządzeniu z wgranym programem WhatsApp.

Android.Spy.4498 to najszybciej rozprzestrzeniający się trojan 2022 roku. Rozwiązanie działa jako imitacja WhatsApp. W rzeczywistości jest to atrapa komunikatora, której zadaniem jest uzyskanie dostępu do wszystkich informacji znajdujących się na telefonie z Androidem za pośrednictwem modułu powiadomień. Android.Spy.4498 może wykraść dane logowania do kont bankowych, mediów społecznościowych oraz danych osobowych zgromadzonych na urządzeniu. Dzięki dostępowi do powiadomień trojan jest w stanie obejść weryfikacje dwuskładnikową w wielu popularnych usługach.

Wirusa znaleziono w aplikacjach opisanych jako GBWhatsApp, OBWhatsApp oraz WhatsApp Plus.

W marcu 2022 roku do Google Play trafiło 12 aplikacji (Top navigation, Advice Photo Power, Up Your Mobile, Morph Faces, Power Photo Studio, Launcher iOS 15, Adorn Photo Pro, Chain, Reaction, TOH, Invest Gaz Incomes, Gazprom Invest, Gaz Investor) z trojanem służącym do kradzieży danych logowania do kont bankowych.

Bardzo niebezpiecznym wirusem jest Escobar. To złośliwe oprogramowanie, które służy do atakowania klientów 190 instytucji finansowych rozsianych po całym świecie. Oprogramowanie wykrada kody do uwierzytelniania wieloskładnikowego w Google Authenticator. Wirus przy okazji gromadzi dzienniki połączeń, historię wiadomości oraz powiadomień. Escobarowi nie udało się przedostać do Google Play.

Wirusy często atakują aplikacje bankowe
Źródło: Pickawood on Unsplash

Wirusy często atakują aplikacje bankowe

Źródło: Pickawood on Unsplash

Bardzo podobny do Escobara wirus SharkBot również służył do wykradania informacji z kont bankowych. Niestety oprogramowanie to trafiło na chwilę do Google Play w czterech aplikacjach:

  • hxxps://play.google.com/store/apps/details?id=com.abbondioendrizzi.antivirus.supercleaner
  • hxxps://play.google.com/store/apps/details?id=com.abbondioendrizzi.tools.supercleaner
  • hxxps://play.google.com/store/apps/details?id=com.pagnotto28.sellsourcecode.alpha
  • hxxps://play.google.com/store/apps/details?id=com.pagnotto28.sellsourcecode.supercleaner

SharkBot to nowoczesny i wyrafinowany wirus. Wykorzystuje on szereg podstępnych zabiegów w celu wyłudzenia pieniędzy z kont osobistych/służbowych przypisanych do urządzenia z Androidem. Po zainfekowaniu wirus tworzy fałszywą stronę logowania do banku w celu przechwycenia danych do logowania. SharkBot potrafi również uzyskać kody weryfikacji dwuskładnikowej pojawiające się na zainfekowanym urządzeniu.

AKTUALIZACJA 01.06.2022

Do sieci trafiły doniesienia o niebezpiecznym zachowaniu aplikacji Zoom na urządzeniach z systemem operacyjnym Android, Windows oraz macOS. Hakerzy zaczęli wykorzystywać popularną aplikację do przeprowadzania wideokonferencji w celu rozsiewania złośliwego oprogramowania na urządzeniach końcowych.

Zoom stał się furtką dla hakerów
Źródło: Chris Montgomery on Unsplash

Zoom stał się furtką dla hakerów

Źródło: Chris Montgomery on Unsplash

Zoom pomimo wielu problemów związanych z bezpieczeństwem oraz wyciekami danych w przeszłości, jest jedną z najpopularniejszych aplikacji do wideokonferencji wykorzystywaną przez osoby prywatne oraz w sektorze biznesowym.

Zespół ekspertów do spraw bezpieczeństwa działający w ramach Project Zero rozwijanego przez Google zidentyfikował niebezpieczną podatność w aplikacji Zoom.

Nowe zagrożenie zostało zaprojektowane tak, aby po otwarciu wiadomości zainstalować złośliwy kod oprogramowania na urządzeniu końcowym. Całość służy przeprowadzaniu ataków typu spyware oraz malware.

Zagrożenie nie wymaga od użytkowników aktywnej interakcji z hakerami.

Ten łańcuch luk umożliwia złośliwemu użytkownikowi przejęcie kontroli nad innym użytkownikiem za pośrednictwem czatu Zoom. Do przeprowadzenia udanego ataku nie jest wymagana interakcja użytkownika. Jedyną umiejętnością, jakiej potrzebuje atakujący, jest możliwość wysyłania wiadomości do ofiary za pośrednictwem czatu Zoom z wykorzystaniem protokołu XMPP.

W taki sposób niebezpieczeństwo wyjaśnił Ivan Fratic - ekspert do spraw cyberbezpieczeństwo z Google Project Zero.

Zoom wydał oficjalne oświadczenie prasowe w sprawie. Producent poważnie traktuje zagrożenie. W modelu CVSS (Common Vulnerability Scoring System) oceniono je na 8 punktów w skali od 1 do 10. Luka ma wpływ na wszystkie systemy operacyjne, na których dostępna jest aplikacja kliencka Zoom.

Producent zaleca, aby użytkownicy nie klikali w linki oraz wiadomości tekstowe, a także jak najszybciej zaktualizowali aplikację kliencką do wersji V5.10.0 lub nowszej.

AKTUALIZACJA 13.06.2022

Urządzenia pracujące pod kontrolą Androida narażone są na nowe zagrożenia. Trwa aktualnie zmasowany atak z wykorzystaniem zainfekowanych aplikacji, które trafiły również do oficjalnego sklepu z aplikacjami - Google Play Store. To nie pierwszy tego typu przypadek, który miał miejsce w 2022 roku.

Badacze do spraw cyberbezpieczeństwo ostrzegają przed nowymi programami, których celem jest wyłudzenie danych lub pieniędzy użytkowników.

Większość zainfekowanych aplikacji z czerwca 2022 roku zostało bardzo szybko usuniętych z Google Play Store, ale patrząc na liczbę pobrań istnieje ryzyko, że znalazły się na służbowych urządzeniach z Androidem. Dodatkowo co najmniej trzy niebezpieczne aplikacje nadal były dostępne do pobrania ze Sklepu Play w momencie pisania aktualizacji tego tekstu (pomimo, że zostały zidentyfikowane jako zainfekowane kilka dni temu).

Najpopularniejsza aplikacja ze złośliwymi fragmentami kodu źródłowego przekroczyła już próg 50 tysięcy pobrań. Niestety program posiada ponad 900 pozytywnych opinii, które przekładają się na średnią ocenę 4,8. Tak wysoka nota wzbudza zaufanie wśród użytkowników pobierających program, którzy są nieświadomi czyhającego na nich zagrożenia. Opinie prawdopodobnie zostały sfałszowane, aby podnieść wiarygodność niebezpiecznego oprogramowania.

Poniżej lista najnowszych aplikacji zawierających niebezpieczne oprogramowanie, które przedostały się do oficjalnego sklepu z aplikacjami na Androida - Google Play:

  • Cool Caller Screen
  • Document Manager
  • RGB Emoji Keyboard
  • Coin track Loan - Online loan
  • PSD Auth Protector
  • Camera Translator Pro

Zwracamy również uwagę na nieco starsze programy, które posiadają w sobie fragmenty złośliwego oprogramowania:

  • Air Balloon Wallpaper
  • Colorful Messenger
  • Pellet Messages
  • Smart Keyboard
  • Special Photo Editor
  • 4K Wallpapers
  • Fast PDF Scanner
  • Thug Photo Editor
  • Anime Wallpaper
  • Peace SMS
  • Happy Photo Collage
  • Original Messenger

Dane o niebezpiecznych aplikacjach zostały przekazane przez firmę SecneurX za pośrednictwem Twittera. Badacze do spraw cyberbezpieczeństwa uspakajają. Większość aplikacji została usunięta z Google Play dzięki obecności systemu Play Protect, zanim zyskały one dużą popularność.

Jednocześnie zalecamy weryfikację listy zainstalowanych aplikacji z poziomu ustawień systemowych. Jeżeli na liście pojawiły się niezidentyfikowane aplikacje warto je odinstalować.

Złośliwe oprogramowanie na Androida coraz częściej przedostaje się do oficjalnego sklepu z aplikacjami
Źródło: Mika Baumeister / Unsplash

Złośliwe oprogramowanie na Androida coraz częściej przedostaje się do oficjalnego sklepu z aplikacjami

Źródło: Mika Baumeister / Unsplash

Trzy z najpopularniejszych zainfekowanych programów, które trafiły do sieci w czerwcu 2022 roku osiągnęły ponad 100 tysięcy pobrań. W identyfikacje złośliwego kodu źródłowego odpowiedzialni byli również badacze z firmy Kaspersky oraz agencji cybernetycznej D3Lab.

Mamy również dobre wiadomości - w czerwcu 2022 roku wyeliminowano niebezpiecznego trojana bankowy - FluBot. Ostatnie aktywne przypadki jego wykorzystania udokumentowano u naszych zachodnich sąsiadów - w Niemczech w kwietniu 2022 roku.

Na szczęście Europol - międzynarodowy zespół organów ścigania składający się z przedstawicieli 11 krajów - powstrzymał rozprzestrzenianie się złośliwego oprogramowania FluBot na Androidzie.

Europol przekazał, że definitywnie rozwiązano problem z zagrożeniami typu FluBot. Stało się to ponad dwa lata po wykryciu pierwszego przypadku udanego wykorzystania tego typu złośliwego oprogramowania. Jednym z popularniejszych przykładów wykorzystania FluBot było przeprowadzenie kampanii phishingowej podszywając się pod niemiecki oddział firmy kurierskiej DHL.

FluBot to jeden z bardziej wyrafinowanych wirusów na Androida. Metodę jego działania przypomnieli pracownicy Europolu:

Złośliwe oprogramowanie było instalowane za pośrednictwem wiadomości tekstowych, w których użytkownicy Androida byli proszeni o kliknięcie linku i zainstalowanie aplikacji umożliwiającej śledzenie przesyłki lub odsłuchanie fałszywej wiadomości głosowej. Po zainstalowaniu złośliwy program, która w rzeczywistości był Flubotem, prosił o pełne prawa dostępu. Hakerzy mogliby następnie wykorzystać ten dostęp do kradzieży danych uwierzytelniających do aplikacji bankowych lub danych kont kryptowalutowych i wyłączyć wbudowane mechanizmy bezpieczeństwa.

Europol przejął dostęp do wirusa FluBot w maju 2022 roku. W międzyczasie trojan został zdezaktywowany. Według Europolu

odłączono dziesiątki tysięcy ofiar od sieci Flubot i zapobiegnięto wysłaniu ponad 6 500 000 wiadomości tekstowych typu spam
.

AKTUALIZACJA 24.06.2022

Administratorzy urządzeń z Androidem w organizacjach powinni zwrócić uwagę na najnowsze niebezpieczne aplikacje z kawałkami zainfekowanego kodu źródłowego, które przedostały się do oficjalnego sklepu z aplikacjami - Google Play. Badacze do spraw cyberbezpieczeństwa odnaleźli w Google Play Store nowe programy, które służą do kradzieży danych osobowych.

Kolejna fala niebezpiecznych aplikacji na Androida przedostała się do Google Play
Źródło: Jonathan Kemper / Unsplash

Kolejna fala niebezpiecznych aplikacji na Androida przedostała się do Google Play

Źródło: Jonathan Kemper / Unsplash

Najnowsze ataki na urządzenia z Androidem dotyczą aplikacji, które posiadają pozytywne opinie w Google Play oraz dużą liczbę pobrań, a w praktyce są programami typu malware, które służą do kradzieży danych osobowych oraz pieniędzy.

Ostatnimi czasy w sieci obserwujemy coraz agresywniejsze ataki cybernetyczne skierowane przeciwko systemowi operacyjnemu Android. Zagrożenie FluBot pokazało, jak duże są możliwości cyberprzestępców. Aktualnie wykorzystywany mechanizm pozwala nie tylko umieścić zainfekowane aplikacje w oficjalnym sklepie z aplikacjami - Google Play. Umożliwia on również spreparowanie liczby pobrać obraz umieszczenie fałszywych (pozytywnych) recenzji w dużej ilości, które w oczach użytkowników końcowych uwiarygodniają aplikacje i zachęcają do jej pobrania. Poprzez dużą liczbę pobrań oraz opinii poprawia się również samo pozycjonowanie na liście programów w Sklepie Play, co nakręca spiralę liczby pobrań.

Niektóre z najnowszych zainfekowanych aplikacji posiadają ponad 50 tysięcy pobrań na całym świecie, a średnia ocena wynosi nawet 4,8 gwiazdki w skali od 1 do 5.

Cyberprzestępcy po raz kolejny do infekcji wykorzystali przydane narzędzia wykorzystywane na codzień na służbowych telefonach komórkowych. Mowa o programach do skanowania dokumentów, obrazowania przestrzeni w 3D, tłumaczenia dokumentów oraz łatwego wprowadzania Emoji.

Firmy zajmujące się bezpieczeństwem cybernetycznym zidentyfikowały pięć niebezpiecznych aplikacji na Androida w połowie czerwca 2022 roku. Mowa o programach:

  • Document Manager
  • 3D Camera to Plan
  • Intelligent Translator Pro
  • Imtoken
  • Oneemoji Keyboard

Według Cyble - firmy zajmującej się bezpieczeństwem cybernetycznymi - Dokument Manager posiada w swoim kodzie źródłowym trojana, który jest nową wariacją wirusa Hydra dostępnego na Androida od wielu lat. Oprogramowanie wykorzystuje fałszywe powiadomienia o aktualizacjach do zdobywania kolejnych uprawnień systemowych, co pozwala wykraść poufne informacje osobiste oraz dane dostępu do kont bankowych.

3D Camera to Plan jest aplikacją z wbudowanym wirusem z rodziny GriftHorse. Jego działanie polega na przeprowadzaniu powtarzających się płatności internetowych. Rozwiązaniu temu przed wykryciem najczęściej udaje się narazić użytkowników na straty wynoszące wiele dolarów. Dotychczas GriftHorse został wykryty w ponad 100 aplikacjach dostępny na Androida.

GriftHorse znajdziemy również w Inteligent Translator Pro. Program wysyła użytkownikom "darmowy" prezent. Aby go otrzymać należy przejść na stronę WWW i podać numer telefonu. Wypełnienie formularza zapisuje numer SMS do usług premium, które rozliczane są przez operatora sieci komórkowej.

Część złośliwego oprogramowania bazuje na zapisywaniu użytkowników do usług premium SMS
Źródło: Christian Wiediger / Unsplash

Część złośliwego oprogramowania bazuje na zapisywaniu użytkowników do usług premium SMS

Źródło: Christian Wiediger / Unsplash

Imtoken to nieco inna aplikacja, która udaje portfel kryptowalut. Zadaniem programu jest kradzież aktywów kryptowalut zgromadzonych w portfelu użytkownika.

Ostatnią zainfekowaną aplikację, którą odkryto jest Oneemoji Keyboard. program ten ma za zadanie umożliwić łatwe wprowadzanie emotikon. Niestety w praktyce zawiera również bardzo niebezpiecznego wirusa z rodziny Joker, który potrafi przeszukiwać pamięć masową urządzenia w celu kradzieży danych wrażliwych np. danych do kart płatniczych.

Dwie z pięciu aplikacji polegają na zapisywaniu użytkowników do usług premium SMS. Z tego względu niezwykle istotna jest blokada tego typu rozwiązań po stronie operatora na wszystkich służbowych kartach SIM. Wprowadzenie takiego ograniczenia sprowadza się jedynie do kontaktu z operatorem, a potencjalnie pozwoli uchronić firmę przed dużymi, ponadnormatywnymi wydatkami na usługi telekomunikacyjne.

AKTUALIZACJA 01.07.2022

Lipiec nie rozpoczął się najlepiej dla systemu operacyjnego Android. W okresie wakacji możemy spodziewać się kolejnych programów z wbudowanymi wirusami oraz nowych metod mających na celu wyłudzania danych.

Badacze do spraw cyberbezpieczeństwo są poważnie zaniepokojeni faktem, że do Sklepu Google Play co chwila trafiają nowe aplikacje ze złośliwym oprogramowaniem, które skutecznie omijają zabezpieczenia wbudowane w system operacyjny Android oraz Google Play Protect.

W czerwcowym biuletynie bezpieczeństwa systemu operacyjnego Android, Google opisało naprawę dużej liczby krytycznych luk w systemie.

Niestety 1 lipca 2022 roku dowiedzieliśmy się o kolejnym złośliwym oprogramowaniu na Androida. Ostrzeżenie zostało przekazane przez firmę Microsoft. Badacze do spraw cyberbezpieczeństwo giganta z Redmond zaprezentowali możliwości wirusa Malware typu Toll Freud.

Microsoft szczegółowo opis stale ewoluujące możliwości aplikacji typu toll raud na Androidzie wyszczególniając złożony i wieloetapowy przebieg ataku oraz mechanizmy unikające analizę bezpieczeństwa systemu operacyjnego Android.

Wyłudzenia Toll Fraud polegają na oszustwach billingowych. Aplikacje aktywują ukryte opłaty abonamentowe, które polegają na zapisaniu do subskrypcji premium. Oszukani użytkownicy dowiadują się o fakcie od operatora sieci komórkowej, który przedstawia wysoki rachunek za usługi telekomunikacyjne za poprzedni okres rozliczeniowy.

Administratorzy IT powinni zdezaktywować usługi premium na kartach służbowych
Źródło:  NordWood Themes / Unsplash

Administratorzy IT powinni zdezaktywować usługi premium na kartach służbowych

Źródło: NordWood Themes / Unsplash

Najnowsze wirusy Toll Fraud działają z wybranymi operatorami sieci komórkowymi i są pisane specjalnie pod konkretne telekomy.

Dimitrios Valsamaras i Sang Shin Jung z Microsoft 365 Defender Research Team przekazali, że oprogramowanie z wirusem malware działającym w modelu Toll Fraud jest w stanie wymusić łączność z siecią komórkową w celu aktywacji wirusa. Po uzyskaniu łączności inicjowany jest proces zapisania do subskrypcji premium bez zgody użytkownika. Rozwiązania są w stanie przechwytywać kody OTP (uwierzytelniania dwuskładnikowego) i wyłączać ich powiadomienia w systemie operacyjnym Android, aby użytkownik nie był świadomy całego procesu.

Co istotne aplikacje działające w oparciu o model Toll Fraud nie kończą swojej działalności po zapisaniu użytkownika do subskrypcji premium. Programy działają w tle i korzystając z pełnych uprawnień do zarządzania wiadomości SMS nawet przez długie tygodnie dbają o to, aby automatycznie kasować wiadomości z usług premium.

AKTUALIZACJA 11.07.2022

Google zareagowało na aplikacje ze złośliwym oprogramowaniem typu Joker, które pojawiły się w oficjalnym sklepie z aplikacjami - Google Play. Niestety w międzyczasie programy zostały pobrane przez ponad 100 tysięcy użytkowników.

Joker to jeden z najbardziej uporczywych wirusów typu Malware. Pozwala on przestępcom uzyskać niemalenie nieograniczony dostęp do zainfekowanego urządzenia. Uprawnienia mogą posłuży do instalacji niego rodzaju wirusów.

Badacze do spraw cyberbezpieczeństwo z Pradeo odkryli wirusa Joker w aplikacjach, które trafiły do Google Play Store i poinformowały o tym wyszukiwarkowego giganta. Mowa o programach:

  • Smart SMS Messages
  • Blood Pressure Monitor
  • Voice Languages Translator
  • Quick Text SMS

Cztery wyżej wymienione aplikacje zostały pobrane przez ponad 100 tysięcy użytkowników. Programy te mogą służyć jako backdoor i w przyszłości zostać wykorzystane do infekcji urządzeń z Androidem z wykorzystaniem innego rodzaju wirusów.

Wirus Joker w wyżej wymienionych aplikacjach może uzyskać dostęp do następujących uprawnień:

Odczytywanie i przechwytywanie haseł jednorazowych i kodów bezpieczeństwa

  • Wysyłanie i odczytywanie wiadomości SMS
  • Przechwytywanie i odczytywanie powiadomień
  • Wykonywanie zrzutów ekranu bez informowania użytkownika
  • Wykonywanie połączeń
  • Wgląd do kontaktów
  • Pełen dostęp do pamięci masowej urządzenia

AKTUALIZACJA 27.07.2022

Aż 50 aplikacji usuniętych z Google Play Store - posiadały m. in. Jokera

Google poinformowało o zmasowanym ataku aplikacji ze złośliwym kodem źródłowym w zawierających wirusa typu Joker - jedno z poważniejszych zagrożeń na Androida, które wykryto w ostatnich miesiącach.

Kolejne kampanie mają na celu infekcję urządzeń z Androidem
Źródło: Matam Jaswanth / Unsplash

Kolejne kampanie mają na celu infekcję urządzeń z Androidem

Źródło: Matam Jaswanth / Unsplash

Wyszukiwarkowy gigant usunął z oficjalnego sklepu z aplikacjami 50 zarażonych aplikacji. Firma radzi użytkownikom przegląd aplikacji, które posiadają na swoich urządzeniach oraz jak najszybsze odinstalowanie zainfekowanych programów.

Użytkownicy urządzeń z Androidem muszą przyzwyczaić się do coraz częstszych komunikatów o zainfekowanych aplikacjach w oficjalnym sklepie z aplikacjami - Google Play Store. Najnowszy alert to kolejna informacja o niebezpieczeństwie, które została udostępniona w lipcu 2022 roku.

Partia 50 niebezpiecznych aplikacji znajdujących się w Sklepie Play została zidentyfikowana przez zespół bezpieczeństwa Zscaler.

Według badaczy z zespołu ThreatLabz firmy Zscaler wykryto aplikacje zawierajace złośliwe oprogramowanie z trzech rodzin - Joker, Facestealer oraz Coper. Wszystkie programy niestety oszukały systemy bezpieczeństwa stosowane przez Google w Sklepie Play.

Według raportu większość aplikacji została zainfekowana wirusem Joker. Jest to bez wątpienia jedno z popularniejszych, a jednocześnie groźniejszych zagrożeń, które wymierzono w stronę urządzeń pracujących pod kontrolą systemu operacyjnego Android.

Joker umożliwia instalację dialerów premium do wyłudzania pieniędzy oraz dodatkowego oprogramowania szpiegującego. Wszystko sprowadza się do wyłudzenia jak największej ilości gotówki poprzez rejestrację do usług premium i płatnych subskrypcji.

W raporcie wyjaśniono schemat działania Jokera z zainfekowanych aplikacji:

To złośliwe oprogramowanie jest zaprojektowane do kradzieży wiadomości SMS, listy kontaktów i informacji o urządzeniu, a także do zapisania ofiary na usługi premium wireless application protocol (WAP).

Wirus Facestealer, który również jest obecny w zidentyfikowanej liście programów służy do kradzieży danych uwierzytelniających do Facebooka, a jego celem jest kradzież wirtualnej tożsamości użytkownika. Jedna z aplikacji odnalezionych przez ThreatLabz z kodem źródłowym Facestealer została pobrana ponad 5 tysięcy razy.

Trzecie zagrożenie - Coper - to trojan bankowy wykorzystujący wieloetapowy łańcuch infekcji do przejęcia kontroli nad urządzeniem. Jego zadaniem są ataki na aplikacje bankowe z Europy, Australii oraz Ameryki Południowej. Coper pozwala przechwytywać wiadomości SMS, logi urządzenia, umożliwia blokowanie i odblokowywanie urządzenia oraz pozwala na zdalną kontrolę nad urządzeniem.

Google zostało poinformowane o obecności zainfekowanych aplikacji natychmiast po ich identyfikacji przez zespół ThreatLabz. Wyszukiwarkowy gigant usunął je z repozytorium, ale w międzyczasie programy rozprzestrzeniły się na tysiącach urządzeń z Androidem.

Poniżej lista 50 zainfekowanych programów, które należy jak najszybciej usunąć z systemu operacyjnego Android:

  1. Universal PDF Scanner - com.unpdf.scan.read.docscanuniver
  2. Private Messenger - com.recollect.linkus
  3. Premium SMS - com.premium.put.trustsms
  4. Smart Messages - com.toukyoursms.timemessages
  5. Text Emoji SMS - messenger.itext.emoji.mesenger
  6. Blood Pressure Checker - com.bloodpressurechecker.tangjiang
  7. Funny Keyboard - com.soundly.galaxykeyboard
  8. Memory Silent Camera - com.silentmenory.timcamera
  9. Custom Themed Keyboard - com.custom.keyboardthemes.galaxiy
  10. Light Messages - com.lilysmspro.lighting
  11. Themes Photo Keyboard - com.themes.bgphotokeyboard
  12. Send SMS - exazth.message.send.text.sms
  13. Themes Chat Messenger - com.relish.messengers
  14. Instant Messenger - com.sbdlsms.crazymessager.mmsrec
  15. Cool Keyboard - com.colate.gthemekeyboard
  16. Fonts Emoji Keyboard - com.zemoji.fontskeyboard
  17. Mini PDF Scanner - com.mnscan.minipdf
  18. Smart SMS Messages - com.sms.mms.message.ffei.free
  19. Creative Emoji Keyboard - com.whiteemojis.creativekeyboard.ledsloard
  20. Fancy SMS - con.sms.fancy
  21. Fonts Emoji Keyboard - com.symbol.fonts.emojikeyboards
  22. Personal Message - com.crown.personalmessage
  23. Funny Emoji Message - com.funie.messagremo
  24. Magic Photo Editor - com.amagiczy.photo.editor
  25. Professional Messages - com.adore.attached.message
  26. All Photo Translator - myphotocom.allfasttranslate.transationtranslator
  27. Chat SMS - com.maskteslary.messages
  28. Smile Emoji - com.balapp.smilewall.emoji
  29. Wow Translator - com.imgtop.camtranslator
  30. All Language Translate - com.exclusivez.alltranslate
  31. Cool Messages - com.learningz.app.cool.messages
  32. Blood Pressure Diary- bloodhold.nypressure.mainheart.ratemy.mo.depulse.app.tracker.diary
  33. Chat Text SMS - com.echatsms.messageos
  34. Hi Text SMS - ismos.mmsyes.message.texthitext.bobpsms
  35. Emoji Theme Keyboard - com.gobacktheme.lovelyemojikeyboard
  36. iMessager - start.me.messager
  37. Text SMS - com.ptx.textsms
  38. Camera Translator - com.haixgoback.outsidetext.languagecameratransla
  39. Come Messages - com.itextsms.messagecoming
  40. Painting Photo Editor - com.painting.pointeditor.photo
  41. Rich Theme Message - com.getmanytimes.richsmsthememessenge
  42. Quick Talk Message - mesages.qtsms.messenger
  43. Advanced SMS - com.fromamsms.atadvancedmmsopp
  44. Professional Messenger - com.akl.smspro.messenger
  45. Classic Game Messenger - com.classcolor.formessenger.sic
  46. Style Message - com.istyle.messagesty
  47. Private Game Messages - com.message.game.india
  48. Timestamp Camera - allready.taken.photobeauty.camera.timestamp
  49. Social Message - com.colorsocial.message
  50. Simple Note Scanner - com.wuwan.pdfscan

Poza powyższą listą warto zwrócić uwagę na dodatkowe 8 programów, które również zawierają niebezpieczne oprogramowanie. Informacje o nich zostały przekazane przez francuskiego badacza do spraw bezpieczeństwa Maxime Ingrao. Ostrzegł on użytkowników urządzeń z Androidem przez 8 złośliwymi aplikacjami. Sprawa również została zgłoszona do Google, a wyszukiwarkowy gigant usunął już programy z Sklepu Play.

Poniżej lista programów:

  1. Vlog Star Video Editor (ponad 1 milion pobrań w Google Play)
  2. Creative 3D Launcher (ponad 1 milion pobrań w Google Play)
  3. Funny Camera (ponad 500 tysięcy pobrań w Google Play)
  4. ​Wow Beauty Camera (ponad 100 tysięcy pobrań w Google Play)
  5. ​Gif Emoji Keyboard (ponad 100 tysięcy pobrań w Google Play)
  6. ​Razer Keyboard & Theme (ponad 100 tysięcy pobrań w Google Play)
  7. ​Freeglow Camera 1.0.0 (ponad 5 tysięcy pobrań w Google Play)
  8. ​Coco camera v1.1 (ponad tysięąc pobrań w Google Play)

AKTUALIZACJA 03.08.2022

Połowa wakacji za nami, a hakerzy nie próżnują aktywnie korzystając z okresu wakacyjnego, który pozwala łatwiej wprowadzić zainfekowane oprogramowanie do obiegu.

Badacze do spraw cyberbezpieczeństwo odkryli wirusy typu adware, które były mocno promowane przez aplikację Facebooka na urządzenia mobilne z Androidem.

Eksperci z firmy McAfee odkryli ponad tuzin aplikacji adware promowanych aktywnie w aplikacji Facebooka, co przyczyniło się do zainstalowania ich na 7 milionach urządzeń z Androidem.

Według badaczy do spraw cyberbezpieczeństwo złośliwe aplikacje mobilne były agresywnie promowane z wykorzystaniem płatnych kanałów promocji na Facebooku.

Promowane programy miał za zadanie zoptymalizować sposób działania smartfona i pozbyć się z niego spyware, adware i innego złośliwego oprogramowania. W zamian za to, aplikacje wysyłały reklamy, a także często zmieniały swoje nazwy i ikony, aby pozostać na urządzeniu ofiary tak długo, jak to możliwe - w tym podszywając się nawet pod sam Sklep Play. Ze względu na charakterystykę działana na baczności powinni się mieć szczególnie posiadacze nieco starszych urządzeń, które nie należą do najwydajniejszych telefonów.

Do wyświetlania reklam wykorzystano komponent Contact Provider Android. Przy każdorazowej instancji nowej aplikacji, adware używa tego podsystemu, aby rozpocząć nową kampanię reklamową na urządzeniu. W efekcie użytkownim myśli, że ostatnio zainstalowany program wywołał problemy z wyświetlaniem nadmiernej ilości reklam.

Zainfekowane aplikacje zostały już usunięte z oficjalnego sklepu z aplikacjami - Google Play. McAfee udostępniło w sieci pełną listę programów:

  • Junk Cleaner
  • EasyCleaner
  • Power Doctor
  • Super Clean
  • Full Clean -Clean Cache
  • Fingertip Cleaner
  • Quick Cleaner
  • Keep Clean
  • Windy Clean
  • Carpet Clean
  • Cool Clean
  • Strong Clean
  • Meteor Clean

Z obserwacji wynika, że kampania była najbardziej efektywna w Korei Południowej, Japonii i Brazylii, ale nie ominęła również Europy.

W samym lipcu 2022 roku do Sklepu Play przedostało się ponad 100 zainfekowanych aplikacji, a już 3 sierpnia 2022 roku do sieci trafiły informacje o kolejnych 17 złośliwych programach, które pokonały zabezpieczenia wszukiwarkowego giganta.

Tym razem odkrycie należy do firmy Trend Micro, która zidentyfikowała złośliwe oprogramowanie oraz poinformowała o jego obecności wyszukiwarkowego giganta.

Eksperci Trend Micro odkryli 17 złośliwych aplikacji, które oferują takie funkcje jak nagrywanie rozmów, połączenie z VPN, czyszczenie oprogramowania, skanowanie dokumentów, edycja zdjęć i inne. W rzeczywistości są to programy przeznaczone do kradzieży poufnych informacji, takich jak dane logowania, numery kont i informacje finansowe.

Poniżej lista zainfekowanych aplikacji zidentyfikowanych przez Trend Micro:

  • Call Recorder APK — com.caduta.aisevsk
  • Rooster VPN — com.vpntool.androidweb
  • Super Cleaner- hyper & smart — com.j2ca.callrecorder
  • Document Scanner – PDF Creator — com.codeword.docscann
  • Universal Saver Pro — com.virtualapps.universalsaver
  • Eagle photo editor — com.techmediapro.photoediting
  • Call recorder pro+ — com.chestudio.callrecorder
  • Extra Cleaner — com.casualplay.leadbro
  • Crypto Utils — com.utilsmycrypto.mainer
  • FixCleaner — com.cleaner.fixgate
  • Universal Saver Pro — com.qaz.universalsaver
  • Lucky Cleaner — com.luckyg.cleaner
  • Just In: Video Motion — com.olivia.openpuremind
  • Document Scanner Pro — com.myunique.sequencestore
  • Conquer Darkness — com.flowmysequto.yamer
  • Simpli Cleaner — com.scando.qukscanner
  • Unicc QR Scanner — com.qrdscannerratedx

AKTUALIZACJA 25.08.2022

Na zakończenie wakacji udostępniamy kolejne listy zainfekowanych aplikacji na Androida, które trafiły do oficjalnego sklepu firmy Google - Sklepu Play. Sprawa jest poważna, ponieważ programy z zaszytym kodem źródłowym malware zostały zainstalowane na ponad 10 milionach urządzeń pracujących pod kontrolą różnych wydań Androida.

Łącznie zidentyfikowano aż 36 niebezpiecznych programów, którym udało się oszukać oficjalne zabezpieczenia stosowane przez Google - Play Protect. Mowa o aplikacjach, które służą do obróbki zdjęć, wirtualnych klawiaturach ekranowych, optymalizatorach pracy systemu czy programom do automatycznej zmiany tapet. Każda aplikacja z wirusem zachęcała do pobrania oferowaniem przydatnych funkcji niedostępnych w nakładkach producenckich oraz samym Androidzie.

Informacje zostały po raz pierwszy podane przez portal BleepingComputer, który ostrzega użytkowników przez zainfekowanymi aplikacjami. Posiadają one malware, który służy do wyświetlania reklam premium oraz zapisywania użytkowników do subskrypcji premium, które są dodatkowo płatne (opłata pobierana przez operatora).

Wybrane aplikacje potrafią również pobrać dane powiązane z kontami w popularnych mediach społecznościowych. Część z nich wykorzystuje do swojego działania jednego z najbardziej niebezpiecznych wirusów na Androida - Jokera.

Badaniem zainfekowanych programów na Androida zajęli się badacze do spraw bezpieczeństwa cybernetycznego z Dr. Web.

Poniżej pełna lista programów z preinstalowanym malware, które przedostały się do Sklepy Play w połowie sierpnia 2022 roku:

  • Photo Editor: Beauty Filter
  • Photo Editor: Retouch & Cutout
  • Photo Editor: Art Filter
  • Photo Editor Design Maker
  • Photo Editor & Background Eraser
  • Photo & Exif Editor
  • Photo Editor - Filter Effects
  • Photo Filters & Effects
  • Photo Editor: Blur Image
  • Photo Editor: Cut, Paste
  • Emoji Keybaord: Stickers & GIF
  • Neon Theme Keyboard
  • Neon Theme - Android Keyboard
  • Cashe Cleaner
  • FastCleaner: Cashe Cleaner
  • Call Skins - Caller Themes
  • Funny Caller
  • CallMe Phone Themes
  • InCall: Contact Background
  • MyCall - Call Personalization
  • Caller Theme
  • Caller Theme
  • Funny Wallpapers - Live Screen
  • 4K Wallpapers Auto Changer
  • NewScrean: 4D Wallpapers
  • Stock Wallpapers & Backgrounds
  • Notes - reminders and lists

O niebezpiecznych aplikacjach poinformowali również pracownicy Bitdefendera. Zidentyfikowali oni 35 aplikacji, które stosują wyrafinowane taktyki do wyświetlania na smartfonach uciążliwych reklam oraz instalacji aplikacji służących do przechwytywania danych.

Część programów również przedostała się do oficjalnego Sklepu Google Play. Badacze do spraw cyberbezpieczeństwa są zaniepokojeni coraz częstszymi incydentami bezpieczeństwa wewnątrz oficjalnego sklepu z aplikacjami na Androida.

Według badaczy do spraw cyberbezpieczeństwa z Bitdefendera niebezpieczne aplikacje zostały pobrań łącznie ponad dwa miliony razy na urządzeniach z całego świata.

Część aplikacji stosuje nowych technik mających na celu ich odinstalowanie z systemu operacyjnego. Programy automatycznie zmieniają swoją nazwę oraz logo.

Poniżej pełna lista zainfekowanych programów:

  • Walls light - Wallpapers Pack
  • Big Emoji - Keyboard
  • Grad Wallpapers - 3D Backdrops
  • Engine Wallpapers - Live & 3D
  • Stock Wallpapers - 4K & HD
  • EffectMania - Photo Editor
  • Art Filter - Deep Photoeffect
  • Fast Emoji Keyboard
  • Create Sticker for Whatsapp
  • Math Solver - Camera Helper
  • Photopix Effects - Art Filter
  • Led Theme - Colorful Keyboard
  • Keyboard - Fun Emoji, Sticker
  • Smart Wifi
  • My GPS Location
  • Image Warp Camera
  • Art Girls Wallpaper HD
  • Cat Simulator
  • Smart QR Creator
  • Colorize Old Photo
  • GPS Location Finder
  • Girls Art Wallpaper
  • Smart QR Scanner
  • GPS Location Maps
  • Volume Control
  • Secret Horoscope
  • Smart GPS Location
  • Animated Sticker Master
  • Personality Charging Show
  • Sleep Sounds
  • QR Creator
  • Media Volume Slider
  • Secret Astrology
  • Colorize Photos
  • Phi 4K Wallpaper - Anime HD

AKTUALIZACJA 10.09.2022

Do sieci trafiły informacje o dwóch niebezpiecznych aplikacjach na Androida, które przedostały się do oficjalnego sklepu z aplikacjami. Eksperci do spraw bezpieczeństwa cybernetycznego firmy Fox-IT poinformowali o dwóch programach, które zostały zainstalowane łącznie na ponad 60 tysiącach urządzeń pracujących pod kontrolą Androida.

Aplikacje Mister Phone Cleaner oraz Kylhavy Mobile Security zawierały zaktualizowaną i ulepszoną wersje osławionego malware pod nazwą SharkBot, o którym głośno było jakiś czas temu.

Aplikacje zostały umieszczone w Google Play Store jeszcze bez elementów kodu źródłowego zawierającego wirusa. Później oba programy zostały zaktualizowane o złośliwy kod omijając jednocześnie zabezpieczenia Play Protect.

Od razu po instalacji jednej z dwóch aplikacji i jej uruchomieniu użytkownicy proszeni byli o instalację aktualizacji. W większości użytkowników nie wzbudziło to powodów do niepokoju, ponieważ mowa o aplikacjach antywirusowych, które informowały o aktualizacji bazy danych z sygnaturami zagrożeń. W praktyce podczas pierwszej instalacji pobierane i instalowane było złośliwe oprogramowanie.

Malware typu SharkBot zostało odkryte i zidentyfikowane po raz pierwszy pod koniec 2021 roku. Pierwsze aplikacje z SharkBot trafiły do Google Play na początku marca 2022 roku. Wirus polega na wykradaniu informacji poprzez instalację keyloggera, przechwytywaniu wiadomości tekstowych do MFA (weryfikacji dwuskładnikowej) oraz oszukiwania użytkowników z wykorzystaniem ataków screen overlay, w celu ujawnienia wrażliwicyh informacji.

W maju na rynku pojawił się SharkBot 2.0, a w sierpniu 2022 roku badacze do spraw cyberbezpieczeństwa natrafili na wersję 2.25, która uzyskała możliwość kradzieży ciasteczek z loginów do kont bankowych.

Nowo odkryte aplikacje z SharkBotem 2.25 nie nadużywają uprawnień dostępności, a także nie wymagają funkcji Direct Reply, ponieważ te mogłyby utrudnić im uzyskanie akceptacji w Sklepie Play.

Zamiast tego programy proszą serwery o bezpośrednie odebranie pliku Sharkbot APK. Następnie aplikacje wyświetlają powiadomienie o aktualizacji i proszą użytkowników o zainstalowanie pliku APK i zezwolenie na wymagane uprawnienia.

Korzystając z rejestratora plików cookie, SharkBot wysysa ważne pliki cookie sesji, gdy użytkownik loguje się na swoje konto bankowe, i wysyła je do serwera command-and-control. Ciasteczka są cenne dla hakerów, ponieważ pomagają im uniknąć kontroli odcisków palców i w niektórych przypadkach pozwalają uniknąć wymogu stosowania tokenów uwierzytelniających użytkownika.

SharkBot został skierowany na użytkowników z Polski, Austrii, Niemiec, Włoch, Hiszpanii, Wielkiej Brytanii i USA.

Badacze do spraw cyberbezpieczeństwa z Fox-IT spodziewają się kolejnych kampanii w przyszłości.

AKTUALIZACJA 16.09.2022

Urządzenia pracujące pod kontrolą systemu operacyjnego Android są narażone na nowego wirusa bankowego o nazwie SOVA.

SOVA jest najnowszym wcieleniem bankowego malware. Wykorzystuje on wirusa o nazwie SOVA Android Trojan. Pierwotnie wirus koncentrował się na działalności w Stanach Zjednoczonych, Rosji oraz Hiszpanii. Aktualnie trwają kampanie atakujące urządzania również w innych krajach.

Wirus ten skierowany jest na użytkowników mobilnej bankowości internetowej. Cechuje się trudnością w identyfikacji oraz odinstalowania. Oprogramowanie posiada zdolność do szyfrowania zgromadzonych danych.

Złośliwe oprogramowanie podszywa się pod popularne aplikacje na Androida takie jak Chrome, Amazon, czy aplikacje do obsługi platform NFT, aby oszukać użytkowników nieświadomych faktu, że instalują złośliwe oprogramowanie.

Najważniejszą cechą wirusa SOVA jest wysoka inteligencja w wykonywaniu operacji. Oprogramowanie posiada moduł ochronny, który monitoruje działania użytkownika i utrudnia odinstalowanie oprogramowania z urządzenia.

W momencie próby odinstalowania wirusa SOVA, moduł ochronny przerywa wywołany przez użytkownika proces i automatycznie powraca do ekranu domowego wyświetlając komunikat o błędzie taki jak np. "aplikacja jest zabezpieczona".

Wirus SOVA skierowany jest aktualnie na ponad 200 aplikacji mobilnych, które w przeważającej większości są aplikacjami bankowymi oraz do obsługi portfeli kryptowalut.

Złośliwe oprogramowanie SOVA zbiera naciśnięcia klawiszy oraz ciasteczka zgromadzone na urządzeniu, potrafi przechwytywać kody uwierzytelniania wieloskładnikowego (MFA - Multi Factor Authentication), może wykonywać zrzuty ekranu oraz nagrywać filmy z aparatów zainfekowanego urządzenia bez zgody użytkownika, posiada możliwość wykonywania różnych gestów w systemie korzystając z usług dostępności, a także kopiować i wklejać do 200 aplikacji bankowych i płatniczych fałszywe dane.

AKTUALIZACJA 23.09.2022

Klienci banków z całego świata atakowani przez trojana SOVA na urządzenia z Androidem

Wirus SOVA, o którym głośno od kilku tygodni sieje spustoszenie wśród systemów bankowych. Nowy, wyrafinowany wirus trojan o nazwie SOVA w czwartej już odsłonię atakuje aplikacje płatnicze i bankowe na urządzeniach pracujących pod kontrolą systemu operacyjnego Android.

SOVA pojawił się po raz pierwszy we wrześniu 2021 roku. Pierwsza wersja służyła do zbierania nazw użytkowników i haseł z wykorzystaniem keyloggera. Oprogramowanie kradło również ciasteczka i instalowało fałszywe nakładki na aplikacje zainstalowane na urządzeniu.

Wirus SOVA jest cały czas rozwijany. Aktualnie na rynku dostępne jest oprogramowanie SOVA v4, a hakerzy przygotowują się do wprowadzenie na rynek wersji v5.

Zgodnie z informacjami zebranymi przez firmę Cleafy zajmującą się badaniami cyberbezpieczeństwa oprogramowanie zostało zaktualizowane o szereg nowych funkcji i możliwości, a program jest kompatybilny z ponad 200 aplikacjami mobilnymi - aplikacjami bankowymi, giełdami kryptowalut oraz portfelami kryptowalut.

SOVA v4 pozwala na wykonywanie kliknięć ekranu, kopiowanie i wklejanie danych oraz wyświetlanie informacji na ekranie zainfekowanego urządzenia. Badacze z Cleafy przeanalizowali kilka urządzeń z zainstalowanym wirusem. Ich zdaniem oprogramowanie w dalszym ciągu jest rozwijane i wkrótce otrzyma nowe funkcje.

Potwierdzono, że SOVA v4 ukrywa się pod wieloma znanymi aplikacjami na Androidzie próbując oszukać użytkowników.

Trojan SOVA Android jest dystrybuowany poprzez smishing (phishing z wykorzystaniem wiadomości SMS). Gdy odbiorca SMS-a otworzy link zawarty w wiadomości, malware zostaje zainstalowany. Następnie wysyła listę wszystkich aplikacji zainstalowanych na urządzeniu do serwera C2 kontrolowanego przez TA. C2 odsyła listę adresów dla każdej z docelowych aplikacji i przechowuje te informacje w pliku XML. Te docelowe aplikacje są następnie zarządzane poprzez komunikację pomiędzy złośliwym oprogramowaniem a C2.

CERT-In twierdzi, że funkcje SOVA v4 obejmują zbieranie informacji o interakcji z urządzeniem, przechwytywanie tokenów uwierzytelniania wieloczynnikowego (MFA), wykonywanie zrzutów ekranu i nagrywanie materiałów wideo z kamery internetowej czy wykonywanie gestów takich jak kliknięcie ekranu użyciu usługi dostępności systemu Android. W rzeczywistości wersja v4 ma także moduł specyficzny dla giełdy Binance i Trust Wallet, który jest oficjalnym portfelem kryptowalutowym Binance. Korzystając z tego modułu, wirus może przechwytywać informacje, takie jak saldo konta i różne działania wykonane przez użytkownika wewnątrz aplikacji kryptowalutowej.

Według badaczy do spraw bezpieczeństwa cybernetycznego Cleafy, najbardziej niebezpieczną funkcją, która wciąż jest rozwijana w SOVA v5, jest moduł ransomware.

Funkcja ransomware jest dość interesująca, ponieważ nadal nie jest powszechna w krajobrazie trojanów bankowych na Androidzie. Silnie wykorzystuje możliwość, która pojawiła się w ostatnich latach, ponieważ urządzenia mobilne stały się dla większości ludzi centralnym magazynem danych osobistych i biznesowych.

O nowym niebezpieczeństwie na systemie operacyjnym Android poinformowali również badacze do spraw bezpieczeństwa cybernetycznego firmy Microsoft. Na systemie operacyjnym Android wykryto zaktualizowaną wersję Spyware o nazwie Banker. Wirus służy do kradzieży danych bankowych użytkowników, a w specyficznych przypadkach może być odpowiedzialny za kradzież pieniędzy.

Zgodnie z informacjami przekazanymi przez Microsoft rozpoczęto nową kampanię smishingowową (SMS phishing), której celem jest nakłonienie użytkowników do pobrania aplikacji TrojanSpy:AndroidOS/Banker.O, która w praktyce jest nowym zagrożeniem zaprojektowanym do kradzieży danych finansowych użytkowników.

Wirusa zaprojektowano w celu wykradania szczegółowych danych logowania do kont, kodów weryfikacji dwuskładnikowej oraz innych informacji umożliwiających identyfikację danej osoby.

Gdy użytkownik pobierze złośliwe oprogramowanie, musi przyznać mu uprawnienia, takie jak MainActivity, AutoStartService i RestartBroadCastReceiverAndroid.

Pozwalają one na przechwytywanie połączeń, dostęp do dziennika połączeń, wiadomości SMS, kontaktów, a nawet informacji sieciowych. Złośliwe oprogramowanie będące w posiadaniu tych informacji może odbierać kody uwierzytelniania wieloskładnikowego odbierane poprzez SMS, a następnie usuwać je, aby upewnić się, że użytkownik zainfekowanego urządzenie ich nie zauważy.

Co ważne informacje te mogę być przechwytywane bez wysyłania powiadomień do użytkowników.

Aktualnie nie znamy osób odpowiedzialnych za atak. Wiemy, że oprogramowanie Banker po raz pierwszy zostało udostępnione w 2021 roku.

W chwili obecnej nie wiadomo ile osób zostało zaatakowanych z wykorzystaniem złośliwego oprogramowania Banker.

Koniec września 2022 roku z nowymi zagrożeniami cybernetycznymi na Androida

Wrzesień niestety kończy się wraz z nowymi zagrożeniami, które atakują urządzenia pracujące pod kontrolą najpopularniejszego systemu operacyjnego na świecie. Android we wrześniu 2022 roku świętował swoje 14 urodziny. Niestety w tym roku zanotowano największą liczbę zagrożeń, które stworzono z myślą o Androidzie od początku istnienia tego systemu operacyjnego.

Cyberprzestępcy nie próżnują, a nowe aplikacje z łatwością przenikają do oficjalnego sklepu z aplikacjami - Google Play, co jeszcze kinaleście miesięcy temu było wyjątkiem, a obecnie nikogo już nie powinno dziwić.

Jesień witamy wraz z najnowszym raportem badaczy do spraw bezpieczeństwa cybernetycznego, którzy odkryli około 90 złośliwych aplikacji na Androida, które zostały pobrane na urządzenia łącznie ponad 13 milionów razy.

Według raportu Satori Threat Intelligence and Research Team na Androida pojawiło się mnóstwo nowych aplikacji z zaszytym kodem źródłowym adware o nazwie Poseidon. Ten typu złośliwego oprogramowania został zidentyfikowany po raz pierwszy w 2019 roku.

Najnowsza wersja złośliwego oprogramowania Poseidon otrzymała nazwę Scylla. Oprogramowanie wykorzystuje nowe techniki ataku i lepiej zabezpiecza sprawców stojących za cyberatakami.

Na szczęście dla użytkowników biznesowych wszystkie zainfekowane aplikacje to gry, więc istniej nieco mniejsze ryzyko, że zostały pobrane na telefony służbowe.

Programy z zaszytym wirusem Scylla oszukują nie tylko użytkowników, ale również reklamodawców tak, aby myśleli, że umieszczają swoje aplikacje w innym rodzaju programu. Dla przykładu złośliwy program udaje, że jest narzędziem do streamingu, a w praktyce jest prostą grą logiczną.

Co istotne po instalacji programu z kodem źródłowym wirusa reklamy wyświetlane są w obrębie całego urządzenia, a nie tylko w zainfekowanej aplikacji. Oznacza to, że możemy oglądać je np. na ekranie domowym lub ekranie blokady.

Scylla potrafi również umieszczać w systemie niewidzialne reklamy, które generują ruch w tle nie wyświetlając się w interfejsie użytkownika. Takie działanie przynosi korzyści finansowe oszusta. Dla użytkownika skutkuje ono spowolnionym działaniem urządzenia, które przetwarza dodatkowe procesy w tle.

Na poniższej liście umieszczamy zidentyfikowane aplikacje z kodem źródłowym wirusa Scylla:

  • Super Hero-Save the world! - com.asuper.man.playmilk
  • Arrow Coins - com.arrow.coins.funny
  • Parking Master - com.ekfnv.docjfltc.parking.master
  • Lady Run - com.lady.dress.run.sexylady
  • Magic Brush 3D - com.magic.brush.gamesly
  • Shake Shake Sheep - com.shake.earn.sheep.causalgame
  • Number Combination: Colored Chips - com.yigegame.jyfsmnq.gg
  • Jackpot Scratcher-Win Real - com.physicswingsstudio.JackpotScratchers
  • Scratch Carnival - com.scratchers.jackpot.luckypiggy
  • Ztime:Earn cash rewards easily - com.pocky.ztime
  • Billionaire Scratch - com.free.tickets.scratchers.Billionaire
  • Lucky Wings – Lotto Scratchers - com.free.scratchers.luckywings
  • Lucky Star: Lotto Scratch - com.free.tickets.scratchers.LuckyLotto
  • Shake Shake Pig - com.ldle.merge.free.coinspiggy
  • Lucky Money Tree - com.ldle.merge.lucky.moneytree
  • Run And Dance - com.tap.run.and.dance
  • Lucky Scratchers: Lotto Card - com.lotto.bingo.lucky.scratchcard
  • Pull Worm - com.pull.bugs.worm
  • Crowd Battle:Fight the bad guys - com.crowd.battle.goamy
  • Shoot Dummy – Win Rewards & Paypal Cash - com.shoot.dummy.fast.speed.linger
  • Spot 10 Differences - com.different.ten.spotgames
  • Find 5 Differences – New - com.find.five.subtle.differences.spot.new
  • Dinosaur Legend - com.huluwagames.dinosaur.legend.play
  • One Line Drawing - com.one.line.drawing.stroke.yuxi
  • Shoot Master - com.shooter.master.bullet.puzzle.huahong
  • Talent Trap – NEW - com.talent.trap.stop.all
  • Shoot it: Using Gun - com.bullet.shoot.fight.gtommm.tom
  • Super Flake - com.chop.slice.flake2020
  • Five-Star Slice - com.five.star.slice
  • Sand Drawing - com.sand.drawing.newfight
  • Mr Dinosaur: Play your Dino - com.topggame.facego.finger.crazy.dino
  • Track Sliding New - com.track3d.sliding.new
  • Beat Kicker New - com.beat.kicker.two.game
  • Fill Color 3D - com.cube.fill.color.paint.turn.fei
  • Draw Live - com.draw.live.milipop
  • Draw 1 Stroke - com.draw.one.line.stroke.xipi
  • Fidget Cubes - com.fidget.cubes.feel.like
  • Girls Fight - com.girls.fight.fly
  • Ninja Assassin - com.knifeninja.assassin.dltc
  • Shooting Puzzle 2020 - com.my.bullet.shooting.man.hunter.youxi
  • Pulley Parkour - com.pul.parkour.bbroller
  • Chop Flake 3D - com.slice.chop.superslice3d
  • Weapon Fantasy - com.weapon.fantasy.games
  • Balloon Shooter - com.balloon.shooter.play
  • Musical Shoot - com.ltcmusical.fun2021
  • Chop Slices - com.lvdiao.chop.slices.chef
  • Ninja Slice - com.slice.masked.games
  • Work Now! - com.work.now.slack
  • Bottle Jump - com.bottle.jump.flip.challenge.fun
  • Corn Scraper - com.corn.scraper.cut.pipe.siling
  • Idle Wood Maker - com.idle.wood.maker.gametwo
  • Pop Girls Schooler - com.pop.girls.schooler
  • Romy Rush - com.romy.rushrun
  • Spear Hero - com.spear.super.man.hero
  • Dig Road Balls - com.dig.road.balls.play.games.ygygame
  • BOO Popstar - com.boostar.boo.popstar
  • Draw CompleteA - com.darwa.completea.ltca
  • Rush 2048:3D Shoot Cubes - com.rushcube.puzzle.block
  • Meet Camera - com.magicvcam.hdmeet.cam008
  • Auto Stamp Camera - com.stac.amper.qweaf
  • com.find.five.differences.lvye.xsl
  • com.mufc.zwxfb
  • Roll Turn - com.roll.turn.song.wusi.pt
  • Hiding Draw - com.hiding.drawltc.games
  • Peter Shoot - com.ltc.peter.shoot.tslgame
  • Design n Road - com.ltcdesign.nroad
  • Draw Complete - com.ltcdraw.complete.fly
  • Thief King - com.ltcking.thief.game.tsl
  • Downhill Race - com.downhill.race.redbull
  • Draw a War - com.draw.war.army
  • Rescue Master - com.rescue.master.gear.mechanics.wushi
  • Spin:Letter Roll - come.letter.roll.race
  • Helicopter Attack – NEW - com.helicopter.attack.shoot.sanba
  • Crush Car - com.crush.car.fly.delivery.lingjiu
  • Relx cash - com.tycmrelx.cash
  • War in Painting - com.painting.war.inpaper
  • Bike Extreme Racing - com.bike.extreme.raceing.bikegames
  • Player Spiral Maker 3D - com.player.spiral.maker.d3
  • Match 3 Tiles - com.blocks.tile.matching
  • 2048 Merge Cube – Win Cash - com.cube.merge.shooter

Aplikacje odkryte przez Satori Threat Intelligence and Research Team to niejedyne zagrożenia na Androida, które pojawiły się w ostatnich dniach.

Eksperci do spraw bezpieczeństwa cybernetycznego ostrzegają również przed wirusem o nazwie Harly. Został on pierwotnie odkryty przez rosyjską firmę antywirusową Kaspersky Lab. Nazwę otrzymał ze względu na podobieństwo do innego niezwykle złośliwego wirusa na Androida - Jokera. Obie nazwy zostały zaczerpnięte z uniwersum DC.

Harly jest w stanie zapisać użytkowników Androida do drogich usług subskrypcyjnych bez ich świadomości. Cały proces opiera się ną potajemnym pozyskiwaniu i przechwytywaniu kodów bezpieczeństwa wiadomości tekstowych.

Od momentu identyfikacji wirusa w 2020 roku zidentyfikowano ponad 190 aplikacji zainfekowanych tym rodzajem malware. Liczba pobrań zainfekowanych aplikacji szacowna jest na około 5 milionów. Ostatnimi czasy wirusa zidentyfikowano w nowych aplikacjach. Poniżej znajduje się lista programów z kodem źródłowym uaktywniającym wirusa Harly:

  • Pony Camera - ponad 500 000 pobrań
  • Live Wallpaper&Themes Launcher - Ponad 100 000 pobrań
  • Action Launcher & Wallpapers - Ponad 100 000 pobrań
  • Color Call - Ponad 100 000 pobrań
  • Good Launcher - Ponad 100 000 pobrań
  • Mondy Widgets - Ponad 100 000 pobrań
  • Zmieniacz głosu Funcalls - Ponad 100 000 pobrań
  • Eva Launcher - Ponad 100 000 pobrań
  • Newlook Launcher - Ponad 100 000 pobrań
  • Pixel Screen Wallpaper - Ponad 100 000 pobrań

Aż 400 niebezpiecznych aplikacji może uzyskać dostęp do kont na Facebooku

Październik 2022 roku rozpoczynamy wraz z nową falą złośliwych aplikacji, które trafiły na Androida. Tym razem służą one do przejęcia dostępu do kont na Facebooku.

Meta
Źródło: meta.com

Meta

Źródło: meta.com

Najnowsze badania przeprowadzone przez Meta (właściciela Facebooka) ujawniły ponad 400 złośliwych aplikacji na Androida i iOS, które przedostały się do oficjalnych sklepów z aplikacjami Google Play Store oraz Apple App Store.

Badacze do spraw bezpieczeństwa cybernetycznego donoszą, że aplikacje zostały zaprojektowane w celu kradzieży danych do logowania do kont na Facebooku. Złośliwe oprogramowanie przybiera formę użytecznych programów takich jak np. edytory zdjęć, gry, usługi VPN czy aplikacje biznesowe.

Przeważająca większość zainfekowanych programów służy do szybkiej obróbki zdjęć na urządzeniach mobilnych. Mowa o aż 42,6% aplikacji z 400 złośliwych programów. Na drugim miejscu znalazły się aplikacje biznesowe z udziałem na poziomie 15,4% oraz narzędzia - 14,1%.

W przypadku tej kampanii cyberprzestępcy uwiarygodniali złośliwe aplikacje z wykorzystaniem fałszywych recenzji dodawanych w Google Play Store oraz Apple App Store.

Gdy użytkownicy odkryli, że aplikacje w praktyce posiadają złośliwe oprogramowanie mające na celu kradzież danych postępowych do Facebooka, twórcy wirusa zalewali sklep z aplikacjami pozytywnymi ocenami, aby ukryć głęboko na liście ocen prawdziwe opinie na temat danego programu.

Wszystkie aplikacje, które posiadały złośliwe oprogramowanie po interwencji ze strony Meta zostały natychmiastowo usunięte z oficjalnych sklepów z aplikacjami. Przeważająca liczba programów (356 z 400) została napisana specjalnie z myślą o urządzeniach pracujących pod kontrolą systemu operacyjnego Android.

Poniżej pełna lista skompromitowanych aplikacji na Androida:

  • CallShowLite
  • Apex Race Game
  • CallerPaper Show
  • Video Converter Master
  • Acetoon Photo Cartoon
  • Photo Frame PIP Collage Maker
  • ZodiHoroscope – Fortune Finder
  • Ads Manager Helper
  • Ad Optimization Meta
  • Ad Manager For Social
  • Agent John FPS Game
  • Unblocked Website
  • Best Fun Cam
  • Psychology Facts
  • Cool Photo Editor
  • Cool Filter Editor
  • Ads & Page
  • Ads Pages Manager
  • Constellation Master
  • AppLock-Lock Apps & Privacy Guard
  • Smooth Picture Editor
  • Text Camera
  • Artoon Photo Cartoon Creator
  • Pics Art
  • Ashtoon Cartoon Editor
  • Perfect Photo Effects | Loop Photo Animator
  • Bomb Master 3D
  • Free Music Downloader & Free Mp3 Downloader
  • Beauty Camera
  • Beauty Camera Plus
  • Photo Editor
  • Beauty Makeup Camera
  • Art Puzzle 2021
  • Biscuit Coco Cam
  • Blue-shoot Game
  • Blur Photo
  • Bluetouch Shooting Game
  • Ranger Crash Game
  • Bamboo VPN
  • Border Sticker Camera
  • Skintoon – Labs of Cartoon
  • Business Planner Manage
  • Classic filter camera
  • PIP Camera 2022
  • Candles VPN
  • Perfect Puzzles
  • Photo editor PIP collage maker
  • ToonPrisma – 3D Photo Effect
  • HD Video Player with music
  • BeautyCam
  • YouToon – AI Cartoon Effect
  • Play Phoot Editor & Collage
  • Photo Filter
  • Color Call
  • Photo PIP Camera
  • Craftsart Cartoon Photo Tools
  • Creatoon Face Editor
  • Photo Video Editor:Lena Editor
  • Crown Camera
  • Photo Pro 2021
  • Ads Manager Plus
  • Maker PIP Gallery
  • Pages Dashboard
  • Photoquipo Cartoon Pic Effect
  • Flyingfish Wallpaper
  • CameraAdorn
  • CreatorMould
  • ElegantImage
  • Deep Wallpaper-live,HD
  • Videolancer – Pro Video Maker
  • PIP Collage Coco
  • Dress up Charming
  • 3 Patti King – India Rummy
  • Face Picture
  • QR Barcode Scan
  • Atec Sparkle Photo Editor 2022
  • Enjoy Photo Editor
  • Ding Ding Photo Effect Editor
  • Art Photo Puzzle
  • Cartoon Face Photo Editor
  • Savetoon Art – Face Cartoon
  • Facetoon Photo Art
  • Fast VPN Proxy
  • Ads Optimize
  • Ads Manager For Business
  • Pica Artoon Face Editor
  • Photo Layout Editor
  • Instapic: Photo Editor Pro, Collage Maker
  • Shape Photo Editor
  • Share Photo Maker
  • Speedy Vpn Tunnel
  • Moldish – Men’s Photo Editor
  • FlyFish Speed
  • Stylist Fonts for Keyboard
  • PIP Editor Frame Photo
  • Flash QRCode Scanner
  • Transcend VPN
  • Free VPN Master
  • Super Tuber VPN
  • Tuber VPN – Free&Secure VPN Proxy Server
  • Fast Vpn Tunnel
  • Photo Puzzle 2021
  • Lone Hero Racing
  • Share Photo Editor
  • Arts Photos
  • Art Filters:Photo to Painting
  • Game Booster
  • Vinto Cam
  • Emotion Checker
  • Ghost VPN Proxy
  • Train Photo
  • Anime Photo
  • Photo Editor Pic Collage
  • Train Photo Frame
  • Hiyoo Hidenode pro
  • All in one Doc Editor & Viewer
  • Fun Wallpaper
  • Hotspot Free VPN
  • Highquality Purple Wallpaper
  • PIP Editor Image
  • Ice Selfie Beauty Cam
  • Image Move Puzzle
  • Business from Instagram
  • Wonderful Camera
  • Ora Horoscope – Fortune Finder
  • Ding Ding Photo Editor
  • Sketch CamPlus
  • Instant Translator
  • Kangaroo VPN
  • Photoont – Photo Collage Edit
  • Palmistry Reading Free
  • Toonex Photo Editor 2022
  • Male fitness
  • Pic Collage & Cartoon Editor
  • 4K Camera Hyper Photo Filters
  • Life Run
  • Lighting Creator Toon
  • Lightning VPN
  • Files Clear
  • PhotoEditor
  • Lofa – Studio Photo Cartoon
  • Lucky Catcher – Catch Them All
  • Lucky Number Pro
  • Video Remaker
  • MadToon Face Cartoon
  • Magic Horoscope
  • GB WA Warna Latest Version
  • Free Comic Photos
  • Foster – Cartoon Photo Effect
  • NeoSnap Photo Editor
  • Business Ads for Meta
  • Business Meta Manager
  • Meta Optimizer – Ads Analysis
  • Meteor vpn
  • Nebula Wallpaper
  • Photo Editor – Frame Effect
  • Full Screen Video Editor
  • Nice Photo
  • Sticker Maker Pro
  • Mold Figure Gym
  • Mood Camera
  • Astro Horoscope Guide 2022
  • MuMus Music Player
  • Photo PIP 2022
  • Camera PIP
  • Nuclear VPN Proxy
  • Okenyo Studio Creatoon
  • Pana Camera
  • Daily Fitness OL
  • Onlan Cartoon Editor
  • Soda Music Player
  • Palmistry of Destiny
  • Popular Emoji
  • Hot Sexy Girls
  • Perfect Photo Album
  • Pewee Photoon – Photo Cartoon
  • Photo PIP
  • Critical Strike Ops – FPS 3D shooting Game
  • Tower Defense Zone – Batmen Rush
  • Simple Photo Adjuster
  • Blur Effect Camera
  • Photo Gaming Puzzle
  • Panorama Camera
  • Pip Camera 2022
  • Photo editor Pro
  • Sweet Summer Camera App
  • Abrasive Photo Editor
  • Photo Editors
  • Rainbow Photo Plaze
  • Photo Sticker&Camera:make you beauty
  • Pic collage: photo editor&beauty image
  • Camera PIP Editor
  • PIP Pic Camera Photo Editor
  • PIP Photo
  • PIP Editor Collage
  • Pixa: Photo Editor & Collage Maker
  • ToonArt
  • Treasures of the Pharaoh
  • PIP Pic Camera Photo Editor
  • Photo Collage Maker Pic
  • Perfect Photo Editor
  • Smart AppLock
  • Cool Lock
  • Pulse Music Player
  • Pumpkin VPN
  • Punk Vpn
  • Pure-VPN:Fast Stable Secure internet Proxy
  • Deep Art Effects
  • Real Driving
  • Papatoon Face Art Editor
  • Camera Photo Editor
  • PIP Magic 2022
  • Photo Video Creator with Music
  • Pop Ringtone
  • Christmas Sticker Camera App
  • Ads Manager for Meta
  • Rocket Connect
  • Rush Car 3D
  • Rush Hour 3D – Heavy Traffic
  • Video Editor
  • Safe Link
  • Cartoon Illustrator
  • PIPO GIF
  • Surf Vpn
  • Sealand Music Player
  • Swarm Photo
  • Perfect ProCam
  • Fission Effectdo Pic Editor
  • ShineStar Camera
  • Light Exposure Photo Editor
  • Cartoon Cam Pro
  • High HD Wallpapers 4K
  • Amazing Photo Puzzle
  • Smart SMS Messages
  • Snap Beauty Camera
  • Snap Editor Pro
  • Snap Face Camera
  • Sandwich SnapBeauty Cam
  • Sofa Cartoon – Pro Editor
  • PIP 2022
  • Drift Speed Racing Game
  • Speed Booster
  • SplitScreen PIP
  • PicMix Photo Editor
  • Star Line
  • PIP PHOTO
  • Pvideo
  • Superior Speed
  • SurfVPN – Fast VPN Proxy
  • S-VPN Proxy
  • S VPN – Fast & Safe VPN Client
  • Lightly Camera
  • Sweet Beauty Plus Camera
  • Beauty Sweet Camera
  • Speedy Turbo
  • Fantastic camera
  • Flying Photo
  • Cartoon Keyboard Theme
  • Translation Assistant
  • Torrent
  • Torch VPN Proxy
  • Touch VPN Master
  • Traffic Tour 3D
  • Photazo – PIP & Cartoon Effect
  • MotoM3X-PoolParty
  • Tuber VPN Proxy
  • Tubo VPN Master
  • Secure Turbo
  • Turbo Net
  • Unlimited Net
  • VPN Lite – Fast & Easy use VPN
  • Vender Add Text on Photo
  • Video Editor 2021
  • Virgo VPN
  • Viva VPN Booster
  • Vivid Cooleditor
  • Voice Changer
  • Private VPN HD
  • 4K Wallpaper
  • Keep Step
  • Pista – Cartoon Photo Effect
  • Magical Daily Astrology Reader
  • Brilliant Photo
  • FancyPhoto
  • PixEditor
  • Piestra – Comic & Blend Effect
  • Smart PDF Reader and Editor
  • Female Fitness
  • Workout Pro
  • Toolkit
  • Xcar Highway Race
  • Xeva Photo Cartoon
  • GIFs-Search Animated GIF & Stickers
  • 2021 MagicCamPlus
  • Enjoy Art Photo
  • Xona Relaxing Sounds
  • MAGIC PHOTO PUZZLE
  • Cartoon Effects Photo Editor
  • Photo Editor Wall
  • Y VPN Master
  • ZooMate VPN Proxy
  • Vilatouch crash game
  • Vilatouch crash car
  • Online Shooter FPS
  • Free Music Downloader & Music Player
  • Crash Racing Game
  • Beauty Camera Filter
  • Action Flame FPS
  • Drift Sprint Racing Game
  • CityRanger Racing Game
  • Thefun Camera
  • Desert Hunting Game
  • Try to spin
  • Lunar Zodiac Horoscope
  • Callshow Flash
  • Grape Media Player
  • Tean Music Player
  • Male Fitness 2020
  • 2022 Ultra Camera
  • Code Name-Vulture FPS OL
  • Kangaroo Fast VPN
  • Muses Music Player
  • Red Camera
  • Snap: HD Photo Editor
  • Lightning Drift Racing
  • One-Sweet Camera
  • Baby Camera
  • BatterySafe
  • Crash Race Master
  • Donfan Music Player
  • Mulu Music Player
  • Musae Music Player
  • Night Hunter Game
  • Teana Music Player
  • Goat Safe VPN
  • SnapBeauty Cam Filter
  • Mostfun Media Music
  • OseaCamera
  • Pomelo Music Player
  • Sealod Music Player
  • SeaShell Music Player
  • ProFlash
  • Kite camera
  • Apex Crash Race
  • Impostor Master Solo Kill 2021
  • Instant Drag Speed Racing
  • Extreme Speed Race
  • NoneCanDie
  • City Crash Racing Game
  • Callpaper Show
  • Sunday Media Player
  • Flame Shock FPS
  • Modern Time Camera
  • Rainbow Square- Sort Puzzle
  • Tea Bag Camera

Użytkownicy urządzeń z Androidem powinni również uważać na nowe złośliwe oprogramowanie typu spyware. Trwa aktualnie kampania wykorzystująca złośliwe oprogramowanie o nazwie RatMilad.

Nowe zagrożenie zostało odkryte po raz pierwszy przez firmę Zimperium zajmującą się badaniem bezpieczeństwa cybernetycznego urządzeń mobilnych. RatMilad to oprogramowanie działające jako trojan zdalnego dostępu (RAT), który jest zdolny do kradzieży danych oraz szpiegowania rozmów przeprowadzanych na zainfekowanym urządzeniu.

Aktualnie RatMilad został rozpowszechniony głównie na Bliskim Wschodzie. Oryginalna wersja tego wirusa dystrybuowana była z wykorzystaniem specjalnie spreparowanej aplikacji do spoofingu telefonu o nazwie Text Me. Ostatnimi czasy program został zaktualizowany i otrzymał nową nazwę NumRent. Programy tego typu wykorzystywane są w krajach, w których dostęp do mediów społecznościowych jest mocno ograniczony lub całkowicie zakazany.

Cyberprzestępcy stworzyli specjalną stronę internetową promującą program NumRent. Linki do tej strony zostały rozpowszechnione w popularnych mediach społecznościowych takich jak Telegram. Główny kanał na Telegramie, który został wykorzystany do proponowania złośliwego oprogramowania RatMilad został odwiedzony ponad 4700 razy.

Po udanej próbie instalacji wirus RatMilad ukrywa się za siecią prywatną VPN i zbiera informacje na temat urządzenia oraz jego użytkownika - kontakty, dzienniki połączeń, wiadomości tekstowe, dane o lokalizacji i inne.

RatMilad posiada również możliwość kradzieży i usuwania plików, modyfikowania uprawnień aplikacji oraz wykorzystywania mikrofonu zainfekowanego urządzenia do nagrywania i podsłuchiwania rozmów. Złośliwe oprogramowanie RatMilad może zostać wykorzystywane do szpiegostwa korporacyjnego w celu kradzieży poufnych informacji firmowych.

AKTUALIZACJA 14.10.2022

W połowie października do sieci trafiły informacje o nowym złośliwym oprogramowaniu atakującym urządzenia pracujące pod kontrolą systemu operacyjnego Android.

Badacze firmy Kaspersky udostępnili w sieci informacje o nowym złośliwym oprogramowaniu, które zaszyto w zmodyfikowanej aplikacji służącej do obsługi kont na WhatsApp.

Program YoWhatsApp to aplikacja, która została stworzona w celu kradzieży kluczy dostępu do kont użytkowników zarjeestrowanych w komunikatorze sieciowym WhatsApp.

Zmodyfikowana aplikacja reklamowana była jako program, który oferuje funkcje niedostępne w klasycznej, oficjalnej wersji aplikacji klienckiej WhatsApp. To właśnie dzięki promowaniu nowych funkcji złośliwe oporgramowanie trafiło na wiele urządzeń.

YoWhatsApp jest w pełni funkcjonalnym komunikatorem, który posiada dodatkowe funkcje dostosowania wygląda interfejsu graficznego do potrzeb użytkownika. Względem oficjalnej aplikacji skorzystać można również z blokowania dostępu do wybranych konwersacji.

Program YoWhatsApp prosi użytkownika o takie same uprawnienia, jak oficjalna aplikacja udostępniana przez WhatsApp. Mowa między innymi o dostępie do wiadomości SMS. Uprawnienie to w oficjalnym programie wykorzystywane jest do odczytywania kodów weryfikacji wieloskładnikowej.

Po instalacji YoWhatsApp konsumenci poza dodatkowymi funkcjami, które wprowadza program w pakiecie otrzymują również złośliwe oprogramowanie typu trojan o nazwie Triada.

Aplikacja YoWhatsApp pozwala atakującym na pobranie i uruchomienie szkodliwego payload na urządzeniu klienckim. W kolejnych krokach przechwytywane są klucze do konta w usłudze WhatsApp.

W połączeniu z dodatkowymi uprawnieniami, które są niezbędne do działania aplikacji WhatsApp, atakujący mogą przy okazji kradzieży konta zapisać użytkownika do płatnych subskrypcji premium. Cały proces odbywa się w tle, a ofiara o udanym ataku może dowiedzieć się dopiero po wykryciu aktywności na koncie WhatsApp, utracie dostępu do swojego konta lub z podwyższonych rachunków za usługi telekomunikacyjne wywołanych subskrypcjami premium.

Według badaczy firmy Kaspersky na przestrzeni dwóch ostatnich miesięcy z wykorzystaniem aplikacji YoWhatsApp przeprowadzono około 3600 udanych ataków.

Aplikacja YoWhatsApp na Androida była reklamowana w oficjalnej aplikacji Snaptube.

Wirusa zidentyfikowano w aplikacji YoWhatsApp o numerze wersji v2.22.11.75.

Podobne zagrożenie wykryto rok temu. Wtedy do sieci przedostała się aplikacja FMWhatsapp 16.80.0, która również posiadała wbudowanego tojana z rodziny Triada.

AKTUALIZACJA 10.11.2022

W pierwszej połowie listopada 2022 roku badacze bezpieczeństwa cybernetycznego odnaleźli nowe wirusy zaprojektowane na urządzenia pracujące pod kontrolą Androida. Google szybko zareagowało na zgłoszenia i usunęło z oficjalnego sklepu z aplikacjami - Google Play - ponad 20 programów.

Na początku miesiąca zidentyfikowano cztery aplikacje, które łączy obecność takiego samego kodu źródłowego złośliwego oprogramowania zidentyfikowanego jako Android/Trojan.HiddenAds.BTGTHB. Rodzina wirusów Android/Trojan.HiddenAds.BTGTHB znana jest ze złośliwego i uporczywego phishingu, a także wyświetlania zmasowanych reklam na zainfekowanych urządzeniach, co prowadzi do szybszego rozładowywania się akumulatora, wolniejszego działania całego urządzenia oraz obniżenia komfortu pracy.

Wirus Android/Trojan.HiddenAds.BTGTHB został odnaleziony w aplikacjach przez badaczy z firmy Malwarebytes.

Poniżej lista zainfekowanych aplikacji:

  • Bluetooth Auto Connect
  • Driver: Bluetooth, Wi-Fi, USB
  • Bluetooth App Sender
  • Mobile transfer: smart switch

Wszystkie aplikacje powiązane są z wykorzystaniem modułu Bluetooth. Złośliwe zachowanie aplikacji rozpoczyna się dopiero kilka dni po instalacji, aby utrudnić identyfikację zainfekowanego programu. To coraz częstsza taktyka twórców wirusów.

Po początkowym opóźnieniu złośliwa aplikacja otwiera w przeglądarce Google Chrome strony phishingowe. Zawartość witryn phishingowych jest różna - niektóre z nich to nieszkodliwe witryny służące po prostu do generowania płatności za kliknięcie, a inne to bardziej niebezpieczne witryny phishingowe, które próbują oszukać niczego nie podejrzewających użytkowników. Dla przykładu jedna witryna zawiera treści dla dorosłych, które prowadzą do stron phishingowych informujących użytkownika, że został zainfekowany lub musi przeprowadzić aktualizacje.

Powyższe aplikacje zostały pobrane łącznie przez ponad milion użytkowników.

O niebezpiecznych aplikacjach na Androida poinformowała również komórka do spraw bezpieczeństwa cybernetycznego rządu Indii. Jej eksperci zidentyfikowali pięć nowych programów na Androida, które mają zdolności do kradzieży danych do logowania użytkowników, numerów kont bankowych oraz innych informacji powiązanych z finansami.

Poniżej lista zainfekowanych aplikacji:

  • Recover Audio, Images & Videos
  • Zetter Authentication
  • File Manager Small, Lite
  • Codice Fiscale 2022
  • My Finances Tracker

O niebezpiecznych aplikacjach poinformowało również samo Google, które zidentyfikowało i usunęło z Google Play Store trzynaście aplikacji, które zostały zainstalowane na ponad 20 milionach urządzeń. Aplikacje zostały usunięte po tym, jak badacze bezpieczeństwa wykryli złośliwe działanie, które mogło spowodować, że urządzenia z Androidem, na których były uruchamiane, szybciej wyczerpywały baterie i zużywały więcej danych mobilnych niż normalnie.

Informacje o niebezpiecznych aplikacjach firma Google uzyskała od badaczy z McAfee Mobile Research Team. Wirus ukryty został w popularnych narzędziach takich jak latarka, skaner kodów QR czy konwerter jednostek i miar. Po otwarciu programy uruchamiały dodatkowy kod źródłowy zużywający zasoby sprzętowe urządzeń do przetwarzania innych oszustw.

Poniżej lista zainfekowanych aplikacji:

  • High Speed Camera - aplikacja umożliwia wykonywanie zdjęć seryjnych z wysoką ilością klatek na sekundę
  • SmartTask - program do lepszego zarządzania pracą poprzez zadania.
  • Flashlight+ - aplikacja pozwalająca skorzystać z lampy błyskowej jako latarki
  • Memo calendar - prosty kalendarz z możliwością dodawania niewielkich notatek i znakowania ich z wykorzystaniem różnych kolorów
  • ​English-Korean Dictionary - przenośny słownik z języka angielskiego na koreański
  • BusanBus - rozkład jazdy komunikacji miejskiej w mieście Busan
  • Quick Notes - Aplikacja do tworzenia notatek
  • Smart Currency Converter - program do przeliczania walut
  • Joycode - skaner kodów QR oraz kodów kreskowych
  • EzDica - program do obsługi aparatu z wybudowanymi znakami wodnymi nanoszącymi datę
  • Instagram Profile Downloader - program do pobierania informacji o profilu z portalu społecznościowego Instagram
  • Ez Notes - organizator notatek
  • Image Vault - Hide Images - program do ukrywania i zabezpieczenia za pomocą hasła wybranych zdjęć.

AKTUALIZACJA 23.11.2022

W oficjalnym sklepie z aplikacjami na Androida - Google Play - prowadzona jest nowa kampania z wykorzystaniem złośliwego oprogramowania SharkBot. Mowa o doskonale znanym już specjalistom ds. cyberbezpieczeństwa trojanie bankowym.

SharkBot powrócił w aplikacjach typu menedżer plików
Źródło: HelpDesk Heroes / Unsplash

SharkBot powrócił w aplikacjach typu menedżer plików

Źródło: HelpDesk Heroes / Unsplash

Tym razem zainfekowano aplikacje typu menedżer plików. Aplikacje same w sobie nie przenoszą złośliwego kodu wirusa, aby uniknąć nieprawidłowości podczas kontroli aplikacji przez zabezpieczenia stosowane przez Google. Zainfekowane aplikacje pobierają wirusa dopiero w momencie, gdy są już zainstalowane na urządzeniu klienckim.

Jako nośnik wirusów wybrano aplikacje typu menedżer plików, które nie wzbudzają podejrzeń podczas prośby o zezwolenie wysokich uprawnień systemowych w tym pełnych uprawnień do odczytu i zapisu plików znajdujących się w pamięci masowej urządzenia.

O najnowszym wcieleniu przebiegającym się za menedżera plików poinformowali badacze do spraw cyberbezpieczeństwa z Bitdefendera.

Aplikacje znalezione przez Bitdefender są przebrane za menedżerów plików, co wyjaśnia, dlaczego żądają od użytkownika pozwolenia na instalację zewnętrznych pakietów (REQUEST_INSTALL_PACKAGES). Pozwolenie to jest wykorzystywane do pobierania złośliwego oprogramowania.

Zadaniem wirusa SharkBot jest przejęcie dostępu do kont bankowych. Oprogramowanie wyświetla fałszywe formularze z danymi do logowania do popularnych baków próbując przechwycić w ten sposób dane uwierzytelniające. Wirus radzi sobie również z obowiązkową w sektorze bankowości weryfikacją wieloskładnikową.

Złośliwe oprogramowanie z rodziny SharkBot cały czas ewoluuje i pojawia się pod nową postacią w Sklepie Play.

Przeważająca większość zainfekowanych aplikacji (80,6%) skierowanych jest przeciwko użytkownikom pochodzącym z Wielkiej Brytanii. Na drugim miejscu znaleźli się włosi z udziałem na poziomie 16,2%.

Poniżej lista niebezpiecznych aplikacji z wirusem SharkBot, które przedostały się do oficjalnego sklepu z aplikacjami - Google Play:

  • Barclays - com.barclays.android.barclaysmobilebanking
  • Bank of Ireland Mobile Banking - com.bankofireland.mobilebanking
  • The Co-operative Bank - com.cooperativebank.bank
  • AIB (NI) Mobile - ftb.ibank.android
  • permanent tsb - com.nearform.ptsb
  • MBNA Mobile App - uk.co.mbna.cardservices.android
  • Mobile Bank UK – Danske Bank - com.danskebank.mobilebank3.uk
  • Barclaycard - com.barclays.bca
  • Tesco Bank and Clubcard Pay+ - com.tescobank.mobile
  • Virgin Money Mobile Banking - com.virginmoney.uk.mobile.android
  • "smile - the internet bank" - com.cooperativebank.smile
  • Starling Bank - Mobile Banking - com.starlingbank.android
  • Metro Bank - uk.co.metrobankonline.mobile.android.production
  • Santander Mobile Banking - uk.co.santander.santanderUK
  • HSBC UK Mobile Banking - uk.co.hsbc.hsbcukmobilebanking
  • TSB Mobile Banking - uk.co.tsb.newmobilebank
  • Bank of Scotland Mobile App - com.grppl.android.shell.BOS
  • Halifax Mobile Banking - com.grppl.android.shell.halifax
  • Lloyds Bank Mobile Banking - com.grppl.android.shell.CMBlloydsTSB73
  • Banca MPS - it.copergmps.rt.pf.android.sp.bmps
  • NewExtraMobileBank - it.extrabanca.mobile
  • RelaxBanking Mobile - it.relaxbanking
  • BNL - it.bnl.apps.banking
  • Hello Bank! - it.bnl.apps.enterprise.hellobank
  • ING Italia - it.ingdirect.app
  • SCRIGNOapp - it.popso.SCRIGNOapp
  • BancoPosta - posteitaliane.posteapp.appbpol
  • Intesa Sanpaolo Mobile - com.latuabancaperandroid
  • Intesa Sanpaolo Business - com.latuabancaperandroid.pg
  • Intesa Sanpaolo Private - com.latuabancaperandroid.ispb
  • Fineco - com.fineco.it
  • Credem - com.CredemMobile
  • BMO Mobile Banking - com.bmo.mobile
  • Alfabeto Banking - com.fideuram.alfabetobanking
  • YouApp - Mobile Banking - com.lynxspa.bancopopolare
  • CheBanca! - com.vipera.chebanca

Wyżej wymienione aplikacje nie są już dostępne w Google Play.

AKTUALIZACJA 15.12.2022

Pomimo sezonu urlopowo-świątecznego cyberprzestępcy nie zwalniają tempa i tworzą kolejne kampanie z wykorzystaniem zainfekowanych aplikacji na Androida skierowane na użytkowników urządzeń przenośnych.

W grudniu 2022 roku odkryto nowe, niebezpieczne aplikacje na Androida, które zostały zainstalowane łącznie na ponad 2 milionach urządzeń. Informacje o zainfekowanych aplikacjach zostały przekazane przez Dr Web.

Jedna z aplikacji - TubeBox została pobrana przez użytkowników ponad milion razy. Program służy do zarabiania pieniędzy poprzez wyświetlanie płatnych filmów i reklam. Użytkownicy mieli otrzymywać nagrody wymienialne na walutę w zamian za oglądanie reklam. W praktyce aplikacja TubeBox zachęcała użytkowników do oglądania jak największej ilości reklam wstrzymując jednocześnie przelewy pieniężne. Kwoty generowane za wyświetlanie płatnych reklam finalnie przelewane były na konta bankowe cyberprzestępców.

Aplikacja Fast Cleaner & Cooling Master służyła do optymalizacji działania systemu operacyjnego Android. W praktyce był to kolejny zainfekowany program podszywający się pod użyteczne narzędzie. System operacyjny Android w najnowszych wersjach nie potrzebuje dodatkowych aplikacji optymalizujących pracę urządzenia. Wystarczą algorytmy wbudowane w sam system operacyjny.

Aplikacja Fast Cleaner & Cooling Master zawierała oprogramowanie AdWare, które wyświetlało reklamy korzystając z serwisa proxy do przekierowywania ruchu. Program został pobrany ponad 500 tysięcy razy.

Pracownicy Dr Web zidentyfikowali również nowe aplikacji, które korzystają z Firebase Cloud Messanging do wyświetlania złośliwych stron internetowych.

Google usunęło ze Sklepu Google Play aplikacje po zgłoszeniu zastrzeżeń co do ich bezpieczeństwa i użycia niezgodnie z pierwotnym przeznaczeniem.

AKTUALIZACJA 20.01.2023

W nowy rok cyberprzestępcy wkroczyli z nowymi sposobami na kradzież danych z urządzeń pracujących pod kontrolą systemu operacyjnego Android. System operacyjny od Google atakowany jest przez kilka nowych wirusów. Jednym z nich jest złośliwe oprogramowanie o nazwie Hook. To malware, które służy do zdalnego przejęcia kontroli nad urządzeniem.

Hook może zdalnie przejąć dostęp do urządzenia mobilnego w czasie rzeczywistym z wykorzystaniem VNC - wirtualnej sieci komputerowej. Nowy wirus jest bardzo podobny do oprogramowania Ermac, które potrafi wykradać dane uwierzytelniające z ponad 467 aplikacji bankowych i portfeli kryptowalut z wykorzystaniem sfabrykowanych stron do logowania w usługach. Oprogramowanie Ermac to typowy trojan bankowy, który sprzedawany jest w cenie około 5000 dolarów za miesiąc użytkowania.

Autor wirusa Hook uważa, że napisał go od podstaw, ale badacze z ThreatFabric zbadali dokładnie kod źródłowy obu wirusów, który w znacznym stopniu pokrywa się ze sobą.

Hook jako nowszy wirus oferuje dodatkowe możliwości, które sprawiają, że jest bardziej niebezpieczny. Wirus wykorzystuje komunikację WebSocket, która działa obok HTTP. Ruch sieciowy jest szyfrowany poprzez klucz AES-256-CBC.

Moduł VNC pozwala na przejęcie kontroli nad urządzeniem w czasie rzeczywistym.

Na szczęście jest dobra wiadomość. Hook do pełnego działania wymaga udzielenia uprawnień dostępności, co jest utrudnione na urządzeniach pracujących pod kontrolą Androida 11 lub nowszego. Z drugiej strony z informacji przekazanych przez BleepingComputer, Polska jest jednym z celów ataków. W naszym kraju znajduje się ponad 40 aplikacji, które mogą być potencjalnym celem malware o nazwie Hook.

W chwili obecnej nie ma potwierdzonych przypadków wskazujących na przedostanie się wirusa typu Hook do oficjalnego sklepu z aplikacjami - Google Play.

Nowy wirus na Androida atakuje routery Wi-Fi

Nowością w 2023 roku jest również wirus, którego celem jest atakowanie routerów Wi-Fi, do których podłączone jest zainfekowane urządzenie pracujące pod kontrolą systemu operacyjnego Android.

Badacze z Kaspersky Lab odkryli aplikacje przenoszące złośliwe oprogramowanie typu Wroba.o/Agent.eq.

Po pobraniu zainfekowanych aplikacji urządzenie będzie próbowało połączyć się z routera Wi-Fi i przejąć dane dostępowe do konsoli administracyjnej. Jeżeli atak się powiedzie, kolejnym krokiem jest zmiana loginu i hasła, a także serwera DNS.

Dzięki temu działaniu cyberprzestępcy mogą przekierować wszystkich użytkowników podłączonych do danej sieci Wi-Fi, również tych bez złośliwego oprogramowania, na zainfekowane strony internetowe w celu przeprowadzenia dalszych ataków.

Badacze z Kaspersky Lab nie wymienili nazw aplikacji, które zostały zainfekowane. Przekazano jedynie, że pliki .APK rozdystrybuowano co najmniej 46 000 razy, z czego ponad 50% pobrać pochodzi z Japonii.

Oprogramowanie zostało stworzone najprawdopodobniej przez grupę Roaming Mantis.

Cyberprzestępcy podszywają się pod aplikację Shagle

Grupa hakerska o nazwie StrongPity APT dystrybuuje w sieci fałszywą aplikację Shagle.

Shagle to platforma do poznawania przypadkowych osób i przeprowadzania czatów głosowych lub wideo. W oficjalnej wersji aplikacji wszystkie dane przesyłane są z wykorzystaniem szyfrowanego połączenia. Rozwiązanie nie posiada oficjalnej aplikacji mobilnej.

Program stworzony na urządzenia z Androidem to nieoficjalna aplikacja, która zawiera w sobie zaszyty kod źródłowy złośliwego oprogramowania.

Po zainstalowaniu aplikacja Shagle umożliwia hakerom szpiegowanie użytkowników oraz przeglądanie danych na urządzeniu, w tym rejestru połączeń telefonicznych, wiadomości SMS czy listy kontaktów.

Najnowsza aktywność StrongPity została odkryta przez badaczy ESET, którzy przypisali kampanię do szpiegowskiej grupy APT na podstawie podobieństw kodu z poprzednimi aplikacjami tej grupy.

Dodatkowo, aplikacja na Androida jest podpisana tym samym certyfikatem, którego APT użyło do podpisania programu, który naśladował syryjską aplikację e-gov na Androida w kampanii z 2021 roku.

Złośliwy APK jest dostarczany bezpośrednio z fałszywej strony Shagle i nigdy nie został udostępniony w Google Play.

AKTUALIZACJA 10.02.2023

Google usuwa 12 aplikacji z Google Play i nawołuje do natychmiastowego usunięcia aplikacji z urządzeń

Firma Google zdecydowała się usunąć w trybie natychmiastowym nieco ponad 10 dosyć popularnych aplikacji. Dodatkowo firma wydała ostrzeżenie dla użytkowników sprzętu z Androidem, w którym radzi, aby ze względów bezpieczeństwa natychmiastowo odinstalować usunięte z Google Play oprogramowanie.

Wśród usuniętych programów znajdziemy aplikacje podszywające się pod gry, ankiety lub programy do ćwiczeń, które oszukują użytkowników poprzez kampanie oferujące nagrody. W rzeczywistości następuje przekierowanie na podejrzane strony internetowe.

Trzy najpopularniejsze aplikacje - Lucky Step: Walking Tracker, WalkingJoy: walking tracker oraz Lucky Habit: health tracker zostały pobrane łącznie przez około 20 milionów użytkowników.

Fałszywe aplikacje nakłaniające o klikania w linki o nieznajomym pochodzeniu podszywały się również pod doradców inwestycyjnych czy proste gry logiczne. Poniżej przedstawiamy listę niebezpiecznych aplikacji:

  • Golden Hunt
  • Reflector
  • Seven Golden Wolf blackjack
  • Unlimited Score
  • Big Decisions
  • Jewel Sea
  • Lux Fruits Game
  • Lucky Clover
  • King Blitz
  • Lucky Hammer

Zidentyfikowano aż 203 niebezpieczne aplikacje na Androida oraz iOS

Tajlandzkie Ministerstwo Gospodarki Cyfrowej i Społeczeństwa (DES) w porozumieniu z Narodową Agencją Cyberbezpieczeństwo Tajlandii (NCSA) wydało oświadczenie, z którego wynika, że zidentyfikowano 203 niebezpieczne aplikacje na iOS oraz Android, które mogą być wykorzystywane do przeprowadzania oszustw bankowych.

Ministerstwo Tajlandia zgłosiło naruszenie do Google i Apple z prośbą o usunięcie programów z oficjalnych sklepów z aplikacjami.

Zidentyfikowane aplikacje posiadają złośliwe oprogramowanie, które może zostać wykorzystane do oszustw bankowych.

W sprawie wypowiedział się minister Tajlandii, który zachęcił do aktualizacji oprogramowania smartfonów oraz usunięcia zidentyfikowanych aplikacji z ich pamięci.

Pełna lista zainfekowanych aplikacji znajduje się w linku.

Chińskie smartfony mogą być nosicielami oprogramowania spyware

W 2023 roku jak bumerang powraca kwestia bezpieczeństwa niezwykle popularnych smartfonów z Androidem z Chin. Aktualnie Chińczycy odpowiadają za większość produkcji urządzeń mobilnych pracujących pod kontrolą Androida. Eksperci do spraw bezpieczeństwa cybernetycznego już wielokrotnie informowali o zagrożeniach związanych z brakiem aktualizacji, bardzo rozbudowanymi nakładkami ingerującymi w oprogramowanie systemowe oraz możliwymi backdoorami w systemie operacyjnym.

O chińskich smartfonach bardzo głośno zrobiło się w 2019 roku, kiedy to firma Huawei utracił dostęp do usług Google.

Aktualnie dużo mówi się o urządzeniach z Chin, które rzekomo pozwalają na wykorzystywanie danych znajdujących się w ich pamięci bez wyraźniej zgody użytkownika.

Ostatnie badania przeprowadzone przez badaczy ukazują problem z chińskimi smartfonami. Badacze alarmują o ilości preinstalowanych aplikacji systemowych, oraz aplikacji firm trzecich, które uzyskują najwyższe uprawnienia systemowe.

Badacze ostrzegają przed zakupem urządzeń wykonywanych przez Xiaomi, OnePlus, Oppo oraz Realme. Twierdzą oni, że duże ilości danych wrażliwych mogą być zbierane przez urządzenia wyżej wymienionych producentów. Mogą one zostać wykorzystane nawet do śledzenia ludzi.

Badacze powiedzieli, że telefony mogą przekazywać informacje takie jak lokalizacja, numer telefonu i to, jakie aplikacje są zainstalowane i użytkowane, do firm trzecich.

W tym miejscu warto przypomnieć, że Google rekomenduje jedynie wybrane chińskie smartfony do wykorzystania w organizacjach. Wyszukiwarkowy gigant zaleca wybór smartfonów takich marek jak Google, Nokia, Samsung, LG czy Sony. Szczegółowa lista zatwierdzonych smartfonów zgodnych z wymaganiami Android Enterprise znajduje się w linku.

AKTUALIZACJA 12.03.2023

Cyberprzestępcy wykorzystują popularność ChatGPT

Lawinowo rosnąca popularność ChatGPT od OpenAI to łakomy kąsek dla cyberprzestępców. Postanowili oni wykorzystać ChatGPT do przeprowadzenia nowych ataków celowanych w użytkowników sprzętu pracującego pod kontrolą systemu operacyjnego Android.

Badacze do spraw bezpieczeństwa cybernetycznego firmy Cyble ostrzegają przed fałszywymi aplikacjami klienckimi ChatGPT, które służą do przeprowadzania różnego rodzaju ataków. Oprogramowanie zidentyfikowano na Androidzie oraz Windowsie.

Skala zjawiska cały czas rośnie. Odnaleziono strony na Facebooku, których celem jest promowanie fałszywych aplikacji ChatGPT, w praktyce zawierających kod złośliwego oprogramowania. Niektóre rodzaje ataków z wykorzystaniem ChatGPT przyjmują formę phishingu. Strony proszą o uiszczenie opłaty w celu odblokowania dostępu do aplikacji ChatGPT kradnąc tym samym dane do kart płatniczych.

Złośliwe oprogramowanie na Androida podszywa się pod nieistniejącą oficjalnie aplikację ChatGPT lub inne programy wykorzystujące sztuczną inteligencję. Aplikacje tego typu namawiają ofiary do aktywowania subskrypcji premium. Jej włączenie wiąże się z podaniem danych finansowych. Rozpoznano także aplikacje, które udają ChatGPT, a w rzeczywistości służą do rozprzestrzeniania reklam w obrębie całego systemu operacyjnego Android.

Programy korzystające z popularności ChatGPT odnaleziono również w oficjalnym sklepie z aplikacjami - Google Play. Badacze z Cyble informują, że programy zostały już usunięte przez Google z autoryzowanego sklepu z aplikacjami na Androida, ale mogą być dostępne w sieci lub sklepach firm trzecich.

Użytkownicy, którzy korzystają z ChatGPT powinni udawać się bezpośrednio na stronę narzędzia z pominięciem wszelkiego rodzaju aplikacji ułatwiających korzystanie ze sztucznej inteligencji.

Szczególnie niebezpieczne są następujące witryny:

  • chatgpt-go.online
  • chat-gpt-pc.online
  • openai-pc-pro.online

Kolejna kampania z wykorzystaniem oprogramowania Xenomorph na Androida

Badacze cyberbezpieczeństwa donoszą o nowej, niezwykle niebezpiecznej kampanii targetowanej na urządzenia z Androidem. Najnowsza wersja znanego już oprogramowania Xenomorph rozsiewa malware, którego celem jest kradzież wrażliwych danych.

Nowa wersja wirusa Xenomorph została wykryta w wielu aplikacjach. Złośliwe oprogramowanie potrafi wykradać dane uwierzytelniające do ponad 400 aplikacji bankowych wykorzystywanych na całym świecie.

Xenomorph został po raz pierwszy wykryty w lutym 2022 roku przez badaczy z ThreatFabric. Początkowo był to trojan bankowy dystrybuowany za pośrednictwem Sklepu Play. Wirus targetowany był na odbiorców z Unii Europejskiej, w tym obywateli polski.

W czerwcu na rynku pojawiła się ulepszona wersja, która trudniej zidentyfikować poprzez modularność i znaczne zmiany w kodzie źródłowym.

Aktualnie dzięki BleepingComputer dowiedzieliśmy się o kolejnej wariacji oprogramowania Xenomorph. Aktualne wydanie skierowane jest na kradzież danych uwierzytelniających do ponad 400 aplikacji bankowych dostępnych na Androida.

Xeonomorph v3 posiada wiele nowych funkcji, które czynią aplikację jeszcze niebezpieczniejszą. Rozwiązanie posiada zdolność do automatycznej kradzieży danych - w tym danych uwierzytelniających logowanie do banku.

Aktualne wydanie Xenomorph pozwala na całkowite zautomatyzowanie procesu kradzieży danych tak, aby był on zupełnie niewidoczny i nieodczuwalny dla użytkownika atakowanego urządzenia. Według badaczy z ThreatFabric jest to aktualnie najbardziej zaawansowane i niebezpieczne złośliwe oprogramowanie dystrybuowane na urządzenia pracujące pod kontrolą systemu operacyjnego Android.

Poza aplikacjami bankowymi Xenomorph atakuje również popularne portfele krytptowalut.

Dochodzenie przeprowadzone przez specjalistów do spraw cyberbezpieczeństwa z ThreatFabric sugeruje, że Xeonomorph v3 będzie dystrybuowany przez twórców (Hadoken Security) jako oprogramowanie typu MaaS (Malware as a Service). Będzie ono sprzedawane innym grupom przestępczym w modelu subskrypcyjnym tak, aby mogli oni osiągać swoje cele ataków cybernetycznych.

Aktualnie Xenomorph v3 dystrybuowany jest za pośrednictwem platformy Zombinder w Google Play. Rozwiązanie to jest niezwykle niebezpieczne, ponieważ jego twórcy znaleźli sposób, który skutecznie omija filtry bezpieczeństwa stosowane przez Google podczas skanowania aplikacji znajdujących się w repozytorium Google Play.

Freamwork stworzony specjalnie dla trzeciego wydania Xenomorph pozwala także na automatycznie wydobywanie kodów weryfikacji wieloskładnikowej - MFA/2FA. Aktualnie Xenomorph pozwala na wykradanie kodów weryfikacji wieloskładnikowej otrzymywanych za pośrednictwem wiadomości SMS, a ślad po nich jest automatycznie usuwany z systemu operacyjnego, aby zmylić użytkownika. Aktualnie oprogramowanie nie jest w stanie przechwytywać kodów z aplikacji do uwierzytelniania takich jak Microsoft Authenticator, Google Authenticator czy Cisco Duo.

Aplikacja Shein na Androida przesyła dane na serwery firm trzecich

Shein do bardzo popularny w naszym kraju sklepach internetowy z odzieżą pochodzący z Chin. Firma słynie z oferowania swoich produktów po dumpingowych cenach, czym zachęca do zakupów szczególnie młodszych użytkowników. Według Bloomberga, Shein był w 2021 roku najczęściej pobieraną aplikacją mobilną do zakupów online.

Starsze wersje aplikacji Shein dostępnej na urządzenia z Androidem okresowo odczytywały zawartość schowka systemowego i wysyłały dane na serwery. Informacje o tym incydencie zostały przekazane przez badaczy Microsoftu.

Według specjalistów z Redmond aplikacja posiadała lukę, która pozwalała na bezproblemowe odczytywanie zawartości schowka systemowego oraz przesyłanie ich na zdalne serwery bez informowania o tym fakcie użytkowników.

O sprawie został poinformowany sklep Shein oraz Google. Luka w zabezpieczeniach została już załatana. Nie stwierdzono żadnych przypadków wykorzystania danych wysyłanych na serwery. Microsoft nie znalazł śladów wskazujących na celowe gromadzenie danych ze schowka urządzeń z Androidem. Najprawdopodobniej był to przypadkowy błąd powstały przy rozwoju aplikacji mobilnej.

AKTUALIZACJA 27.03.2023

Google wycofuje popularną aplikację ecommerce z powodu problemów ze złośliwym oprogramowaniem

Google zdecydowało się wycofać z oficjalnego sklepu z aplikacjami - Google Play - aplikację Pinduoduo. Według informacji przekazanych przez agencję Reuters wyszukiwarkowy gigant zdecydował się na wycofanie aplikacji zakupowej Pinduoduo w związku z obawami o bezpieczeństwo użytkowników.

Według Reutersa pracownicy Google znaleźli problemy ze złośliwym oprogramowaniem, które występowało w niektórych wersjach aplikacji Pinduoduo. Mowa o archiwalnych wersjach, które nie były aktywnie dystrybuowane przez Sklep Play, ale do czasu wyjaśnienia sprawy aplikacja znikła z oficjalnego sklepu z aplikacjami na Androida.

Google prowadzi aktualnie dochodzenie w tej sprawie. Według Bloomberga firma zdecydowała się wdrożyć natychmiastowe środki bezpieczeństwa ze względu na wysoką popularność aplikacji w wybranych rejonach świata.

CNN w swoich materiałach cytuje rzecznika Google, który przekazał:

"Zawiesiliśmy wersję aplikacji z Google Play ze względów bezpieczeństwa, podczas gdy kontynuujemy nasze dochodzenie."

Firma Pinduoduo nie zgadza się z informacjami przekazywanymi przez firmę Google stwierdzając, że oskarżenie jest niedostateczne.

Nexus - nowe malware-as-a-service na Androida

Nexus - wirus oferowany w modelu malware-as-a-service jest jednym z najnowszych szybko rosnących trojanów wymierzonych w aplikacje do bankowości mobilnej oraz portfele kryptowalut.

Oprogramowanie Nexus stworzone zostało w celu atakowania aż 450 podmiotów bankowych oraz usług odpowiedzialnych za zarządzanie kryptowalutami na całym świecie. Trojan posiada wiele funkcji, które umożliwiają mu przechwytywanie kont internetowych oraz potencjalne przelewanie z nich pieniędzy na konta atakujących.

Nexus udostępniany jest w modelu malware-as-a-service (MaaS). Zainteresowane osoby i grupy mogą wynająć lub subskrybować złośliwe oprogramowanie do wykorzystywania go we własnych celach.

Badacze z włoskiej firmy Cleafy, zajmującej się bezpieczeństwem cybernetycznym, po raz pierwszy zauważyli Nexusa w czerwcu zeszłego roku, ale wtedy ocenili go jako szybko ewoluujący wariant innego trojana bankowego na Androida, którego śledzili jako "Sova". Złośliwe oprogramowanie zawierało kilka fragmentów kodu Sova i posiadało w tamtym czasie możliwości atakowania ponad 200 mobilnych aplikacji bankowych, kryptowalutowych i innych finansowych.

W styczniu badacze Cleafy zauważyli złośliwe oprogramowanie - teraz bardziej rozwinięte - pojawiające się na wielu forach hakerskich pod nazwą Nexus. Wkrótce potem autorzy złośliwego oprogramowania zaczęli udostępniać je innym osobom za pośrednictwem swojego nowego programu MaaS za stosunkowo niską cenę 3000 dolarów miesięcznie.

Aktualnie nie jest jasne, w jaki sposób hakerzy dostarczają Nexusa na urządzenia z systemem Android. "Nie mieliśmy dostępu do konkretnych szczegółów dotyczących początkowego wektora infekcji Nexusa, ponieważ nasze badania skupiały się głównie na analizie jego zachowania i możliwości" - przekazał Federico Valentini - szef zespołu Cleafy zajmującego się badaniem wirusa Nexus. "Jednak na podstawie naszego doświadczenia i wiedzy o podobnym złośliwym oprogramowaniu, powszechne jest, że trojany bankowe są dostarczane za pośrednictwem schematów inżynierii społecznej, takich jak smishing" - dodał odnosząc się do phishingu za pośrednictwem wiadomości tekstowych SMS.

AKTUAIZACJA 17.04.2023

Niebezpieczny trojan trafił do Google Play

Badacze do spraw cyberbezpieczeństwa po raz kolejny poinformowali o aplikacji z kodem źródłowym złośliwego oprogramowania, która skutecznie oszukała zabezpieczenia firmy Google i trafiła do Sklepu Play.

Program z zaimplementowanym trojanem został pobrany przez użytkowników ponad 50 tysięcy razy. Aplikacja o nazwie Easy Painting posiada w sobie elementy niezwykle groźnego wirusa znanego jako Joker. Jest to aktualnie jeden z najbardziej zaawansowanych wirusów.

Aplikacja Easy Painting naraża użytkownika na dodatkowe koszty w postaci zapisania do SMSów premium. Możliwości Jokera można wykorzystać również do kradzieży danych znajdujących się w pamięci wewnętrznej urządzenia.

Złośliwe oporgoramowanie zostało zidentyfikowane przez użytkownika Twittera o nicku SecneurX.

Niestety na moment pisania artykułu (17 kwietnia 2023 roku) aplikacja nadal dostępna była do pobrania w Sklepie Play. Oznacza to, ze nieświadomi użytkownicy mogą instalować zainfekowany program.

AKTUALIZACJA 04.05.2023

W trakcie długiego weekendu majowego do sieci trafiły nowe informacje dotyczące niebezpiecznych aplikacji na Androida. Aktualnie trwa zmasowany atak z wykorzystaniem złośliwego oprogramowania, a aplikacje przedostały się w sporej ilości do oficjalnego sklepu z aplikacjami - Google Play.

Najnowsze informacje o złośliwym oprogramowaniu zostały przekazane przez MalwareFox. Zidentyfikowano łącznie 19 aplikacji posiadających w sobie kod złośliwego oprogramowania Harly Trojan, Joker lub Autolycos Malware. Mowa o programach:

  • Fare Gamhub and Box
  • Hope Camer-Picture Record
  • Same launcher
  • Live Wallpaper
  • Amazing Wallpaper
  • Cool Emoji Editor and Sticker
  • Simple Note Scanner
  • Universal PDF Scanner
  • Private Messenger
  • Premium SMS
  • Blood Pressure Checker
  • Cool Keyboard
  • Paint Art
  • Color Message
  • Vlog Star Video Editor
  • Creative 3D Launcher
  • Wow Beauty Camera
  • Gif Emoji Keyboard
  • Instant Heart Rate Anytime
  • Delicate Messenger

Jednocześnie poinformowano o zmasowanej kampanii z wykorzystaniem adware, która zaatakowała aż 35 milionów urządzeń pracujących pod kontrolą różnych wersji Androida.

Aplikacje wyposażone w wirusa adware zauważalnie spowalniają działanie urządzeń oraz mogą narażać prywatność użytkowników.

Według portalu BleepingComputer do Google Play trafił zestaw 38 aplikacji zainfekowanych przez Adware, które trafiły aż na 35 milionów urządzeń z Androidem. Programy dostępne są na całym świecie, ale aplikacje trafiają głównie na urządzenia ze Stanów Zjednoczonych, Kanady, Korei Południowej i Brazylii. Nie oznacza to jedynie, że europejscy użytkownicy Androida są w pełni wolni od problemu.

Aplikacje z Adware zostały wykryte przez badaczy do spraw bezpieczeństwa cybernetycznego firmy McAfee.

Poniżej lista aplikacji wraz z ilością pobrać z Google Play:

  • Block Box Master Diamond - 10m+
  • Craft Sword Mini Fun - 5m+
  • Block Box Skyland Sword - 5m+
  • Craft Monster Crazy Sword - 5m+
  • Block Pro Forrest Diamond - 1m+
  • Block Game Skyland Forrest - 1m+
  • Block Rainbow Sword Dragon - 1m+
  • Craft Rainbow Mini Builder - 1m+
  • Block Forrest Tree Crazy - 1m+
  • Craft Clever Monster Castle - 500k+
  • Block Monster Diamond Dragon - 500k+
  • Craft World Fun Robo - 500k+
  • Block Pixelart Tree Pro - 500k+
  • Craft Mini Lucky Fun - 500k+
  • Block Earth Skyland World - 500k+
  • Block Rainbow Monster Castle - 500k+
  • Block Fun Rainbow Builder - 500k+
  • Craft Dragon Diamond Robo - 500k+
  • Block World Tree Monster - 100k+
  • Block Diamond Boy Pro - 100k+
  • Block Lucky Master Earth - 100k+
  • Craft Forrest Mini Fun - 100k+
  • Craft Sword City Pro - 100k+
  • Block Loki Monster Builder - 100k+
  • Block Boy Earth Mini - 100k+
  • Block Crazy Builder City - 100k+
  • Craft Sword Vip Pixelart - 100k+
  • Block City Fun Diamond - 100k+
  • Craft City Loki Rainbow - 100k+
  • Craft Boy Clever Sun - 100k+
  • Block City Dragon Sun - 100k+
  • Craft Loki Forrest Monster - 100k+
  • Lokicraft: Forrest Survival 3D - 50k+
  • Craft Castle Sun Rain - 50k+
  • Craft Game Earth World - 50k+
  • Craft Lucky Castle Builder - 50k+
  • Craftsman: Building City 2022 - 50k+
  • Craftsman: Building City 2022 - 50k+
  • Craft Rainbow Pro Rain - 50k+

Aplikacje zostały już zgłoszone do Google i usunięte z Google Play.

AKTUALIZACJA 17.05.2023

W połowie maja 2023 roku firma Google wystosowała oficjalne ostrzeżenie dla wszystkich użytkowników urządzeń z Androidem. Informacja dotyczy zatem ponad 3,6 miliarda urządzeń z Androidem (najnowsze dane z maja 2023 roku zliczające jedynie używane aktualnie smartfony z pominięciem tabletów oraz urządzeń IoT/POS).

W związku z ilością ostatnich ataków z wykorzystaniem złośliwego oprogramowania wystosowanych przeciwko użytkownikom systemu operacyjnego Android producent przypomina o wbudowanych narzędziach bezpieczeństwa o nazwie marketingowej Play Protect.

Google oficjalnie zachęca użytkowników smartfonów z Androidem z dostępem do usług Google do korzystania z wszystkich dostarczanych przez producenta zabezpieczeń.

Ze względu na swoją budowę system operacyjny Android z natury pozwala na łatwiejsza infiltrację urządzeń z wykorzystaniem złośliwych aplikacji. Aktualnie najpopularniejsze są trojany, programy szpiegujące oraz keyloggery.

Funkcja Play Protect udostępniana przez Google to narzędzie mające zwiekszyć poziom bezpieczeństwa urządzeń pracujących pod kontrolą Androida. Po aktywacji dedykowane algorytmy połączenie z usługami Google podczas pracy urządzenia skanują je w poszukiwaniu niepotrzebnych, niezweryfikowanych lub niebezpiecznych aplikacji.

Rozwiązanie dostępne jest na wszystkich urządzeniach wyposażonych w certyfikat Play Protect. Posiadają go urządzenia z dostępem do usług Google. Aby aktywować funkcję należy przejść do Sklepu Play, kliknąć w awatar użytkownika > Play Protect > Ustawienia > Skanuj aplikacje za pomocą Play Protect. Ścieżka dotarcia może się nieco różnić w zależności od posiadanego urządzenia oraz wersji systemu operacyjnego Android.

"Ze względów bezpieczeństwa zalecamy, aby zawsze mieć włączoną funkcję Google Play Protect" - wyjaśnia Google.

"Jeśli instalujesz aplikacje z nieznanych źródeł spoza Sklepu Google Play, Google Play Protect może poprosić Cię o przesłanie nieznanych aplikacji do Google". - dodaje Google na autorskim blogu.

FluHorse - nowe malware infiltruje urządzenia z Androidem

Cyberprzestępcy opracowali nowe złośliwe oprogramowanie, którego zadaniem jest niepostrzeżone wykradanie kodów 2FA/MFA.

Zespół do spraw cyberbezpieczeństwa z Check Point Research (CSR) przekazał informacje o nowym oprogramowaniu szpiegującym. Wirus z rodziny FluHorse służy do naśladowania zwykłych aplikacji w celu kradzieży kodów do weryfikacji wieloskładnikowej w popularnych usługach.

FluHorse jest niezwykle niebezpieczny, ponieważ może być obecny na urządzeniu przez wiele miesięcy i nie dawać żadnych oznak, że urządzenie został zainfekowane. Badacze z Check Point Research nazwali najnowsze zagrożenie "uporczywym, niebezpiecznym i trudnym do wykrycia".

FluHorse udaje prawdziwe aplikacjem aby wprowadzić ofiary w błąd. Program podszywa się pod znane i lubiane aplikacje z Google Play, aby uzyskać dane logowania oraz kody weryfikacji 2FA do kont bankowych i innych aplikacji finansowych.

Według raportu przekazanego przez Check Point Research oprogramowanie został zainstalowane ponad milion razy!

Gdy FluHorse zostanie poprawnie zainstalowany, może ukraść jej dane uwierzytelniające i kody uwierzytelniania dwuskładnikowego (2FA).

W jaki sposób odbywa się kradzież danych? Po pierwsze, po zainstalowaniu fałszywej aplikacji prosi ofiary o zezwolenie na wysyłanie i przeglądanie wiadomości SMS.

Następnie użytkownicy są proszeni o wprowadzenie swoich danych uwierzytelniających (np. hasła i danych karty kredytowej). W pewnym momencie serwer dowodzenia i kontroli przechwytuje każdy przychodzący ruch SMS w celu przechwycenia kodów 2FA.

Aplikacje zainfekowane kodem źródłowym FlueHorse trafiają na urządzenia z Androidem za pośrednictwem wysoko wyrafinowanej kampanii phishingowej, która zachęca użytkowników do instalacji aplikacji z pliku .APK.

Głównymi celami ataku z wykorzystaniem FluHorse są aktualnie kraje wschodnioazjatyckie, ale nie jest to jedyny atakowany region.

Fleckpe - złośliwe oprogramowanie zapisujące użytkowników do usług premium

O nowym rodzaju zagrożenia na urządzenia pracujące pod kontrolą systemu operacyjnego Android ostrzegają również badacze ze znanej firmy do spraw bezpieczeństwa cybernetycznego - Kaspersky.

W oficjalnym sklepie z aplikacjami na Androida - Google Play - zidentyfikowano nowe, szkodliwe oprogramowanie typu malware. Wirus o nazwie Flackpe naraża użytkowników na dodatkowe opłaty poprzez nieautoryzowane zapisywanie urządzeń do subskrypcji typu premium pobierających cykliczne opłaty.

Fleckpe jest trojanem subskrypcyjnym, który rozprzestrzenia się za pośrednictwem Google Play będąc częścią aplikacji do edycji zdjęć i programów z tapetami na smartfony. Co gorsza, chociaż to złośliwe oprogramowanie zostało dopiero wykryte, obecnie wiadomo już, że aktywnie rozprzestrzenia się od roku i zainfekowało już ponad 620 000 urządzeń.

Przez ostatnie 12 miesięcy Fleckpe działało w ukryciu i wygenerowało sporo strat finansowych na zainfekowanych urządzeniach.

Po pobraniu aplikacji na Androida, która została zainfekowana Fleckpe, będzie ona miała dostęp do powiadomień systemowych, w których można znaleźć kody potwierdzające.

Na urządzeniu zacznie działać złośliwe oprogramowanie, które połączy urządzenie z cyberprzestępcami za pośrednictwem dedykowanego połączenia z serwerem. W następnym kroku e hakerzy prześlą numer telefonu komórkowego urządzenia i kod sieci komórkowej, które służą do ustalenia, gdzie przebywa ofiara oraz z jakiego operatora sieci komórkowej korzysta.

Po uzyskaniu tych informacji tworzona jest subskrypcja premium, która otwierana jest przez złośliwego trojana w karcie przeglądarki w tle. Program automatycznie zapisuje użytkownika do płatnej subskrypcji przechwytując kod autoryzujący z SMS dzięki dostępowi do uprawnień systemowych w tym zakresie.

Poniżej lista zweryfikowanych aplikacji zainfekowanych kodem złośliwego oprogramowania Fleckpe, które trafiły do Google Play:

  • Beauty Camera Plus
  • Beauty Photo Camera
  • Beauty Slimming Photo Editor
  • Fingertip Graffiti
  • GIF Camera Editor
  • HD 4K Wallpaper
  • Impressionism Pro Camera
  • Microclip Video Editor
  • Night Mode Camera Pro
  • Photo Camera Editor
  • Photo Effect Editor

Wyżej wymienione programy zostały natychmiastowo usunięte ze Sklepu Play po przekazaniu informacji przez badaczy do spraw bezpieczeństwa cybernetycznego Kaspersky.

AKTUALIZACJA 17.06.2023

W połowie czerwca 2023 roku do sieci trafiły bardzo niepokojące informacje dotycząca aplikacji na Androida. Okazało się bowiem, że miliardy użytkowników sprzętu z Androidem posiada na swoich urządzeniach zainstalowane programy, które mogą zostać wykorzystane do potajemnej implementacji kodu złośliwego oprogramowania na urządzeniach.

Badacze do spraw bezpieczeństwa ostrzegają o aż 60 tysiącach aplikacji na Androida, które mogą zostać łatwo wykorzystane w celu wstrzyknięcie na urządzenie kodu złośliwego oprogramowania.

O niebezpieczeństwa po raz pierwszy poinformował zespół do spraw bezpieczeństwa cybernetycznego dużej firmy zajmującej się bezpieczeństwem cybernetycznym - Bitdefender. Twierdzą oni, że ukryta kampania złośliwego oprogramowania grasowała niewykryta na milionach urządzeń mobilnych na całym świecie.

Zainfekowane urządzenia z fałszywymi aplikacjami wyświetlają dodatkowe reklamy w obrębie systemu operacyjnego Android powodując tym samym niższą wydajność baterii oraz zmniejszając responsywność, prędkość działania i wydajność samych urządzeń. Działanie to odbywa się w celu generowania przychodu z wyświetlanych reklam, który inkasowany jest przez grupy przestępcze.

Z pozoru ten atak wydaje się mało szkodliwy, ale eksperci ostrzegają przed jego konsekwencjami. Potencjalnie mało niebezpieczne aplikacje typu adware mogą się łatwo zamienić w szkodliwe trojany, których zadaniem jest opróżnianie kont internetowych z aplikacji bankowych zainstlowanyc ona urządzeniach.

Kampania ma na celu agresywne wypychanie oprogramowania reklamowego na urządzenia z Androidem w celu zwiększenia przychodów

- ostrzega Bitdefender.

Zaangażowani cyberprzestępcy mogą łatwo zmienić taktykę, aby przekierować użytkowników na inne rodzaje złośliwego oprogramowania, takie jak trojany bankowe do kradzieży danych uwierzytelniających i informacji finansowych lub oprogramowanie ransomware.

- dodają przedstawiciele Bitdefendera.

Do tej pory Bitdefender wykrył 60 000 zupełnie różnych próbek (unikalnych aplikacji) zawierających adware. Firma podejrzewa, że w rzeczywistości aplikacji jest nawet kilkukrotnie więcej.

Według badaczy do spraw bezpieczeństwa cybernetycznego zajmujących się tą sprawą złośliwe oprogramowanie działa na urządzeniach co najmniej od października ubiegłego roku stale poszerzając zasięg swojej działalności. Sugerują oni zautomatyzowany proces redystrybucji zainfekowanych aplikacji, który jako jedyny umożliwia udostępnienie zagrożenia na tak szeroką skalę.

Nowym odkryciem związanym z niebezpiecznymi aplikacjami na Androida pochwalili się również badacze z Kaspersky Lab. Ostrzegają oni przed aplikacjami typu copycat, które udają aplikacje bankowe w celu kradzieży danych.

Najnowsza kampania skierowana jest przeciwko użytkownikom z Wielkiej Brytanii.

Aktualizacja: 17 czerwca 2023 12:59
Aktualizacja: 17 maja 2023 17:52
Aktualizacja: 04 maja 2023 16:57
Aktualizacja: 17 kwietnia 2023 18:56
Aktualizacja: 27 marca 2023 19:43
Aktualizacja: 10 marca 2023 11:49
Aktualizacja: 10 lutego 2023 13:35
Aktualizacja: 20 stycznia 2023 11:56
Aktualizacja: 15 grudnia 2022 14:09
Aktualizacja: 23 listopada 2022 15:35
Aktualizacja: 10 listopada 2022 08:59
Aktualizacja: 14 października 2022 11:43
Aktualizacja: 07 października 2022 10:48
Aktualizacja: 30 września 2022 18:40
Aktualizacja: 23 września 2022 17:25
Aktualizacja: 16 września 2022 16:26
Aktualizacja: 09 września 2022 17:25
Aktualizacja: 25 sierpnia 2022 16:11
Aktualizacja: 03 sierpnia 2022 17:05
Aktualizacja: 27 lipca 2022 16:17
Aktualizacja: 11 lipca 2022 13:43
Aktualizacja: 01 lipca 2022 15:20
Aktualizacja: 24 czerwca 2022 13:20
Aktualizacja: 13 czerwca 2022 15:20
Aktualizacja: 01 czerwca 2022 19:45
Aktualizacja: 12 maja 2022 17:58
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200