برنامه های Google Play با 700000 نصب متن را می دزدند و از شما پول می گیرند


برنامه های Google Play با 700000 نصب متن را می دزدند و از شما پول می گیرند

گتی ایماژ

محققان امنیتی دسته ای از برنامه های Google Play را کشف کردند که پیام های متنی کاربران را سرقت می کرد و اقدام به خرید غیرمجاز سکه می کرد.

محققان موبایل مک آفی سانگ ریول ریو و چانونگ پاک روز دوشنبه گفتند که این بدافزار که در بیش از 700000 بارگیری در هشت برنامه پنهان شده بود ، اعلان های پیامکی را ربوده و سپس خریدهای غیرمجاز انجام داد. مک آفی در حال تماس با بدافزار Android / Etinu است.

داده های کاربر برای گرفتن رایگان است

محققان می گویند بررسی یک سرور توسط مهاجمی که دستگاه های آلوده را رصد می کند ، نشان می دهد که همه تاریخ ها را در تلفن های کاربران از جمله اپراتور تلفن همراه ، شماره تلفن ، پیام های متنی ، آدرس IP ، وضعیت کشور و شبکه آنها ذخیره می کند. این سرور همچنین تمدید اشتراک خودکار را ذخیره می کند ، برخی از این موارد به صورت زیر است:

شوخی نیست

این بدافزار یادآور ، اگر یکسان نباشد ، بدافزار خانواده پربار اندروید موسوم به Joker است که پیام های متنی را نیز می دزدد و کاربران را برای خدمات گران قیمت ثبت می کند.

محققان به نقل از اتینو نوشتند: “بدافزار شنونده اعلان ها را برای سرقت پیام های پیامکی دریافتی ، مانند بدافزار Android Joker بدون اجازه خواندن پیامک ، ربوده است.” “بدافزار مانند یک سیستم زنجیره ای ، شی the را برای اطلاع رسانی به مرحله نهایی منتقل می کند. هنگامی که اعلان از بسته پیام کوتاه پیش فرض دریافت می شود ، پیام با استفاده از رابط JavaScript WebView ارسال می شود. “

در حالی که محققان می گویند Etinu یک خانواده از بدافزارها به غیر از Joker است ، نرم افزار امنیتی مایکروسافت ، Sophos و سایر شرکت ها از کلمه Joker در نام خود برای شناسایی برخی از بدافزارهای تازه کشف شده استفاده می کنند. رمزگشایی از اتینو و استفاده از محموله های چند سطح نیز مشابه است.

جریان رمزگشایی

جریان رمزگشایی

مک آفی

در ایمیل ایمیلی از سانگ ریول ریو از مک آفی آمده است: “در حالی که اتینو شباهت زیادی به جوکر دارد ، اما عمق آن ، روند بارگذاری ، رمزگذاری و هدف گذاری جغرافیایی آن متفاوت از جوکر است.”

کاربران Etinu در یک پوشه Android Assets با نام پرونده هایی مانند “cache.bin” ، “settings.bin” ، “data.droid” یا “پرونده های تصویر” ظاهر می شوند.

مک آفی

چند سطحی

همانطور که در نمودار فرآیند رمزگشایی در بالا نشان داده شده است ، کد مخرب مخفی در پرونده اصلی نصب بارگیری شده از Play ، یک پرونده رمزگذاری شده به نام “1.png” را باز می کند و با استفاده از یک کلید که همان نام بسته است ، رمزگشایی می کند. سپس پرونده loader.dex اجرا شده و منجر به درخواست HTTP POST به سرور C2 می شود.

محققان مک آفی نوشتند: “جالب است که این بدافزار از سرورهای کلیدی مدیریت استفاده می کند.” “او از سرورها برای بار دوم رمزگذاری شده AES کلید می خواهد” ، 2.png. “و سرور کلید را به عنوان مقدار” “JSON برمی گرداند. علاوه بر این ، این بدافزار دارای ویژگی به روزرسانی خودکار است. وقتی سرور به مقدار “URL” پاسخ می دهد ، از محتوای URL به جای “2.png” استفاده می شود. با این حال ، سرورها همیشه به درخواست پاسخ نمی دهند یا کلید مخفی را پس نمی دهند. “

مک آفی

برنامه ها و هش های رمزنگاری مربوطه عبارتند از:

08C4F705D5A7C9DC7C05EDEE3FCAD12F345A6EE6832D54B758E57394292BA651 2021
CC2DEFEF5A14F9B4B9F27CC9F5BBB0D2FC8A729A2F4EBA20010E81A362D5560C com.pip.editor.camera
007587C4A84D18592BF4EF7AD828D5AAA7D50CADBBF8B0892590DB48CCA7487E org.my.favorites.up.keypaper
08FA33BC138FE4835C15E45D1C1D5A81094E156EEF28D02EA8910D5F8E44D4B8 com.super.color سشوار
9E688A36F02DD1B1A9AE4A5C94C1335B14D1B0B1C8901EC8C986B4390E95E760 com.ce1ab3.app.photo.editor
018B705E8577F065AC6F0EDE5A8A1622820B6AEAC77D0284852CEAECF8D8460C com.hit.camera.pip
0E2ACCFA47B782B062CC324704C1F999796F5045D9753423CF7238FE4CABBFA8 com.daynight.keyboard.wallpaper
50D498755486D3739BE5D2292A51C7C3D0ADA6D1A37C89B669A601A324794B06 com.super.star.ringtones

برخی از برنامه ها به این شکل هستند:

مک آفی

محققان گفتند که آنها برنامه های Google را گزارش کردند و شرکت آنها را حذف کرد.


منبع: tarjome-news.ir

حتما بخوانید:
وکیل - جستجوی وکیل پایه یک دادگستری

دیدگاهتان را بنویسید

hacklink al hd film izle php shell indir siber güvenlik türkçe anime izle Fethiye Escort android rat duşakabin fiyatları fud crypter hack forum instagram beğeni bayan escort - vip elit escort https://www.fivesosyalmedya.com/garnet trade güvenilir mihtml nullednulled themesMobil Ödeme BozdurmaMobil Ödeme BozdurmaViagraMobil Ödeme BozdurmaMobil Ödeme BozdurmaVodafone Mobil Ödeme Bozdurma