Kenkėjiška kampanija pasinaudojo iš pažiūros nekenksmingomis „Android“ lašintuvų programėlėmis „Google Play“ parduotuvėje, kad keltų pavojų naudotojų įrenginiams Bankininkystės paslaugos Kenkėjiška programa.

Šios 17 lašintuvų programų, pavadintų kombinuotais Daudruber „Trend Micro“, užmaskuotas kaip produktyvumo programos ir paslaugos, pvz., dokumentų skaitytuvai, QR kodo skaitytuvai, VPN paslaugos, skambučių įrašymo įrenginiai ir kt. Visos šios atitinkamos programos pašalintos iš programų rinkos.

„DawDropper naudoja Firebase Realtime duomenų bazę, trečiosios šalies debesies paslaugą, kad išvengtų aptikimo ir dinamiškai gautų naudingosios apkrovos atsisiuntimo adresą“, – sakė tyrėjai. Jis pasakė. „Tai taip pat talpina kenkėjiškus naudingus krovinius „GitHub“.

Droppers yra programos, skirtos „Google Play“ parduotuvės saugos patikrinimams atlikti, o po to jos naudojamos norint į įrenginį atsisiųsti galingesnes ir įžeidžiančias kenkėjiškas programas, šiuo atveju spalis (kuperis), hidraIr mesti taveIr tibot.

Į atakų grandines buvo įtraukta kenkėjiška programa „DawDropper“, kuri užmezga ryšį su „Firebase Realtime“ duomenų baze, kad gautų „GitHub“ URL, reikalingą norint atsisiųsti kenkėjišką APK failą.

Žemiau pateiktas kenkėjiškų programų, kurias anksčiau buvo galima įsigyti iš „App Store“, sąrašas –

• Call Recorder APK (com.caduta.aisevsk)
• Rooster VPN (com.vpntool.androidweb)
• Super Cleaner – „Hyper Smart“ (com.j2ca.callrecorder)
• Dokumentų skaitytuvas – PDF kūrimo priemonė (com.codeword.docscann)
• Universal Saver Pro (com.virtualapps.universalsaver)
• „Eagle“ nuotraukų redaktorius (com.techmediapro.photoediting)
• skambučių įrašymo įrenginys pro + (com.chestudio.callrecorder)
• Papildomas valiklis (com.casualplay.leadbro)
• Crypto Utils (com.utilsmycrypto.mainer)
• FixCleaner (com.cleaner.fixgate)
• Just In: Video Motion (com.olivia.openpuremind)
• com.myunique.sequencestore
• com.flowmysequto.yamer
• com.qaz.universaver
• Lucky Cleaner (com.luckyg.cleaner)
• „Simpli Cleaner“ (com.scando.qukscanner)
• „Unicc“ QR skaitytuvas (com.qrdscannerratedx)

Programėlė „Unicc QR Scanner“ yra įtraukta į anksčiau buvusius traukinius Pranešė Zscaler Anksčiau šį mėnesį buvo platinamas Coper Banking Trojos arklys, tam tikros rūšies mobilioji kenkėjiška programa iš Exobot.

Taip pat žinoma, kad išjungti Octo google play apsaugai ir naudokite Virtual Network Computing (VNC), kad įrašytumėte aukos įrenginio ekraną, įskaitant slaptą informaciją, pvz., banko kredencialus, el. pašto adresus, slaptažodžius ir PIN kodus, kurie vėliau nutekinami į nuotolinį serverį.

Savo ruožtu bankas iškrenta išsivystė Nuo metų pradžios jis atsisakė šifruotų naudingų krovinių atsisiuntimo adresų su tarpine programine įranga, kad užmaskuotų adresą, kuriame yra kenkėjiška programa.

„Kibernetiniai nusikaltėliai nuolat randa būdų, kaip išvengti aptikimo ir užkrėsti kuo daugiau įrenginių“, – teigia mokslininkai.

Be to, dėl didelės naujų būdų, kaip platinti kenkėjiškas programas mobiliuosiuose įrenginiuose, paklausos, daugelis kenkėjiškų veikėjų teigia, kad jų gavybos įrankiai gali padėti kitiems kibernetiniams nusikaltėliams platinti savo kenkėjiškas programas „Google Play“ parduotuvėje, todėl „Dropper“ naudojama kaip paslauga (DaaS) Modelis.”