Et nyt sæt malware-dropper-apps er blevet opdaget i Google Play Butik, hvor disse apps bruger falske opdateringer til at installere banktrojanske heste på intetanende brugeres enheder.
Som rapporteret af BleepingComputer, har malware-droppers meget nemmere end ondsindede apps ved at komme ind på officielle app-butikker som Play Butik, da de faktisk ikke indeholder nogen ondsindet kode. I stedet kan de inficere Android-smartphones med malware, efter du har installeret dem.
Malware-dropper-apps er også sværere at få øje på end ondsindede apps, da de fungerer normalt, når de først er installeret, og al deres ondsindede adfærd finder sted i baggrunden. I et nyt blogindlæg fra Threat Fabric, som først opdagede disse nye malware-droppers, rapporterer firmaets sikkerhedsforskere, at de ser en stigning i brugen af cyberkriminelle, da malware-droppers tilbyder en nemmere måde at inficere sårbare enheder på.
Slet disse apps nu
Hvis du har nogen af de nedenstående apps installeret på din Android-smartphone eller -tablet, skal du straks slette dem manuelt. Det er dog også værd at tage et kig på Threat Fabrics forskning, da firmaet også har inkluderet en liste i slutningen af deres blogindlæg med alle de bankapps og kryptopunge som kan være ramt.
- Codice Fiscale 2022 – 10.000 downloads
- File Manager Small, Lite – 1.000 downloads
- Recover Audio, Images & Videos – 100.000 downloads
- Zetter Authentication – 10.000 downloads
- My Finances Tracker – 1.000 downloads
SharkBot og Vultur banktrojanske heste
Under deres nylige undersøgelse fandt Threat Fabric 2 malware-dropper-kampagner, der distribuerede SharkBot- og Vultur-malwaren.
SharkBot er en Android-malware, som bruger overlejringer af falske login-skærme til at stjæle dine bankoplysninger og andre legitimationsoplysninger. Den kan dog også stjæle og skjule tekstbeskeder og fjernstyre din Android-smartphone.
De malware dropper-apps, der bruges til at distribuere SharkBot i denne kampagne, hedder “Codice Fiscale 2022” og “File Manager Small, Lite.” Heldigvis er den første app kun blevet downloadet 10.000 gange af italienske Android-brugere, og den anden app har kun 1.000 downloads, men kan stjæle legitimationsoplysninger fra bankapps, der bruges i USA, Storbritannien, Italien, Tyskland, Spanien, Polen, Østrig og Australien.
Når en af disse apps er installeret på en brugers enhed, beder apps dem om at installere en falsk opdatering, der inficerer deres smartphone med SharkBot malware. Disse malware-droppere åbner dog også en falsk webside, der er designet til at efterligne Play Butik i et forsøg på at narre brugere til at klikke på “Opdater”.
Malware-dropper-kampagnen, der bruges til at levere Vultur-malwaren, distribueres af tre apps: “Recover Audio, Images & Videos”, “Zetter Authentication” og “My Finances Tracker.” Vultur er også en banktrojansk hest, der bruger skærmstreaming og keylogging af sociale medier fra afstand og beskedapps til at stjæle brugeroplysninger. Den nye variant af denne malware, der bruges i kampagnen opdaget af Threat Fabric, kan dog også optage klik, bevægelser og alle andre handlinger foretaget af et offer på deres Android-enhed.
Malware-dropperne, der distribuerer Vultur-malwaren, bruger også falske opdateringer forklædt som Play Butik-meddelelser til at installere malware på et offers smartphone. Overraskende nok bruger disse malware-droppere AES-kryptering til at skjule, hvad de virkelig laver fra automatiserede scannere.
Be the first to comment