[ad_1]

برنامه های Google Play با 700000 نصب متن را می دزدند و از شما پول می گیرند

گتی ایماژ

محققان امنیتی دسته ای از برنامه های Google Play را کشف کردند که پیام های متنی کاربران را سرقت می کرد و اقدام به خرید غیرمجاز سکه می کرد.

محققان موبایل مک آفی سانگ ریول ریو و چانونگ پاک روز دوشنبه گفتند که این بدافزار که در بیش از 700000 بارگیری در هشت برنامه پنهان شده بود ، اعلان های پیامکی را ربوده و سپس خریدهای غیرمجاز انجام داد. مک آفی در حال تماس با بدافزار Android / Etinu است.

داده های کاربر برای گرفتن رایگان است

محققان می گویند بررسی یک سرور توسط مهاجمی که دستگاه های آلوده را رصد می کند ، نشان می دهد که همه تاریخ ها را در تلفن های کاربران از جمله اپراتور تلفن همراه ، شماره تلفن ، پیام های متنی ، آدرس IP ، وضعیت کشور و شبکه آنها ذخیره می کند. این سرور همچنین تمدید اشتراک خودکار را ذخیره می کند ، برخی از این موارد به صورت زیر است:

شوخی نیست

این بدافزار یادآور ، اگر یکسان نباشد ، بدافزار خانواده پربار اندروید موسوم به Joker است که پیام های متنی را نیز می دزدد و کاربران را برای خدمات گران قیمت ثبت می کند.

محققان به نقل از اتینو نوشتند: “بدافزار شنونده اعلان ها را برای سرقت پیام های پیامکی دریافتی ، مانند بدافزار Android Joker بدون اجازه خواندن پیامک ، ربوده است.” “بدافزار مانند یک سیستم زنجیره ای ، شی the را برای اطلاع رسانی به مرحله نهایی منتقل می کند. هنگامی که اعلان از بسته پیام کوتاه پیش فرض دریافت می شود ، پیام با استفاده از رابط JavaScript WebView ارسال می شود. “

در حالی که محققان می گویند Etinu یک خانواده از بدافزارها به غیر از Joker است ، نرم افزار امنیتی مایکروسافت ، Sophos و سایر شرکت ها از کلمه Joker در نام خود برای شناسایی برخی از بدافزارهای تازه کشف شده استفاده می کنند. رمزگشایی از اتینو و استفاده از محموله های چند سطح نیز مشابه است.

جریان رمزگشایی

جریان رمزگشایی

مک آفی

در ایمیل ایمیلی از سانگ ریول ریو از مک آفی آمده است: “در حالی که اتینو شباهت زیادی به جوکر دارد ، اما عمق آن ، روند بارگذاری ، رمزگذاری و هدف گذاری جغرافیایی آن متفاوت از جوکر است.”

کاربران Etinu در یک پوشه Android Assets با نام پرونده هایی مانند “cache.bin” ، “settings.bin” ، “data.droid” یا “پرونده های تصویر” ظاهر می شوند.

مک آفی

چند سطحی

همانطور که در نمودار فرآیند رمزگشایی در بالا نشان داده شده است ، کد مخرب مخفی در پرونده اصلی نصب بارگیری شده از Play ، یک پرونده رمزگذاری شده به نام “1.png” را باز می کند و با استفاده از یک کلید که همان نام بسته است ، رمزگشایی می کند. سپس پرونده loader.dex اجرا شده و منجر به درخواست HTTP POST به سرور C2 می شود.

محققان مک آفی نوشتند: “جالب است که این بدافزار از سرورهای کلیدی مدیریت استفاده می کند.” “او از سرورها برای بار دوم رمزگذاری شده AES کلید می خواهد” ، 2.png. “و سرور کلید را به عنوان مقدار” “JSON برمی گرداند. علاوه بر این ، این بدافزار دارای ویژگی به روزرسانی خودکار است. وقتی سرور به مقدار “URL” پاسخ می دهد ، از محتوای URL به جای “2.png” استفاده می شود. با این حال ، سرورها همیشه به درخواست پاسخ نمی دهند یا کلید مخفی را پس نمی دهند. “

مک آفی

برنامه ها و هش های رمزنگاری مربوطه عبارتند از:

08C4F705D5A7C9DC7C05EDEE3FCAD12F345A6EE6832D54B758E57394292BA651 2021
CC2DEFEF5A14F9B4B9F27CC9F5BBB0D2FC8A729A2F4EBA20010E81A362D5560C com.pip.editor.camera
007587C4A84D18592BF4EF7AD828D5AAA7D50CADBBF8B0892590DB48CCA7487E org.my.favorites.up.keypaper
08FA33BC138FE4835C15E45D1C1D5A81094E156EEF28D02EA8910D5F8E44D4B8 com.super.color سشوار
9E688A36F02DD1B1A9AE4A5C94C1335B14D1B0B1C8901EC8C986B4390E95E760 com.ce1ab3.app.photo.editor
018B705E8577F065AC6F0EDE5A8A1622820B6AEAC77D0284852CEAECF8D8460C com.hit.camera.pip
0E2ACCFA47B782B062CC324704C1F999796F5045D9753423CF7238FE4CABBFA8 com.daynight.keyboard.wallpaper
50D498755486D3739BE5D2292A51C7C3D0ADA6D1A37C89B669A601A324794B06 com.super.star.ringtones

برخی از برنامه ها به این شکل هستند:

مک آفی

محققان گفتند که آنها برنامه های Google را گزارش کردند و شرکت آنها را حذف کرد.

[ad_2]

منبع: tarjome-news.ir