NEWSFLASH...
Ειδήσεις | Έρευνες, Εκθέσεις, Μελέτες
ανάγνωση

Check Point: Κρυμμένα κακόβουλα προγράμματα πίσω από εφαρμογές καθόλα νόμιμες​

Check Point: Κρυμμένα κακόβουλα προγράμματα πίσω από εφαρμογές καθόλα νόμιμες​

​Ερευνητές της Check Point έχουν εντοπίσει κρυμμένα κακόβουλα προγράμματα πίσω από εφαρμογές που φαίνονται καθόλα νόμιμες. Το κακόβουλο λογισμικό στην εφαρμογή μπορεί να εγγράψει το θύμα σε διάφορες συνδρομές επί πληρωμή, να πραγματοποιήσει αγορές εντός της εφαρμογής και να υποκλέψει στοιχεία σύνδεσης. ​

Οι τροποποιημένες εκδόσεις εφαρμογών για κινητά είναι πολύ συνηθισμένες στον κόσμο των κινητών τηλεφώνων. Αυτές οι εφαρμογές μπορεί να προσφέρουν επιπλέον δυνατότητες και ρυθμίσεις, μειωμένες τιμές ή να είναι διαθέσιμες σε μεγαλύτερο εύρος αγορών σε σύγκριση με την αρχική τους εφαρμογή. Η προσφορά τους μπορεί να είναι αρκετά ελκυστική ώστε να δελεάσει αφελείς χρήστες να τις εγκαταστήσουν μέσω ανεπίσημων εξωτερικών καταστημάτων εφαρμογών.

Ο κίνδυνος από την εγκατάσταση τροποποιημένων εκδόσεων προέρχεται από το γεγονός ότι ο χρήστης είναι αδύνατο να γνωρίζει ποιες αλλαγές έγιναν στον κώδικα της εφαρμογής. Για να είμαστε πιο ακριβείς - είναι άγνωστο ποιος κώδικας προστέθηκε και αν έχει κακόβουλη πρόθεση.

Η ερευνητική ομάδα της Check Point για κινητά ανακάλυψε πρόσφατα μια τροποποιημένη έκδοση της δημοφιλούς εφαρμογής Telegram Messenger για Android. Η κακόβουλη εφαρμογή εντοπίστηκε και αποκλείστηκε από το Harmony Mobile. Αν και μοιάζει αθώα, αυτή η τροποποιημένη έκδοση είναι ενσωματωμένη με κακόβουλο κώδικα που συνδέεται με το Trojan Triada. Το Trojan Triada, το οποίο εντοπίστηκε για πρώτη φορά το 2016, είναι μια σπονδυλωτή κερκόπορτα για το Android που παρέχει προνόμια διαχειριστή για τη λήψη άλλου κακόβουλου λογισμικού.

Telegram 9.2.1 - Τροποποιημένο με Triada Trojan - Η τέλεια μεταμφίεση

Το κακόβουλο λογισμικό μεταμφιέζεται σε Telegram Messenger έκδοση 9.2.1. Έχει το ίδιο όνομα πακέτου (org.telegram.messenger) και το ίδιο εικονίδιο με την αρχική εφαρμογή Telegram. Κατά την εκκίνηση, ο χρήστης εμφανίζεται με την οθόνη ελέγχου ταυτότητας του Telegram, του ζητείται να εισάγει τον αριθμό τηλεφώνου της συσκευής και να χορηγήσει στην εφαρμογή δικαιώματα τηλεφώνου.

Αυτή η διαδικασία μοιάζει με την πραγματική διαδικασία ελέγχου ταυτότητας της αρχικής εφαρμογής Telegram Messenger. Ο χρήστης δεν έχει κανέναν λόγο να υποψιαστεί ότι συμβαίνει κάτι ασυνήθιστο στη συσκευή.

Στο Παρασκήνιο

Η στατική ανάλυση των εφαρμογών δείχνει ότι κατά την εκκίνηση της εφαρμογής, ένας κακόβουλος κώδικας εκτελείται στο παρασκήνιο, μεταμφιεσμένος ως εσωτερική υπηρεσία ενημέρωσης εφαρμογών.

Το κακόβουλο λογισμικό συλλέγει πληροφορίες για τη συσκευή, δημιουργεί ένα κανάλι επικοινωνίας, κατεβάζει ένα αρχείο ρυθμίσεων και περιμένει να λάβει το ωφέλιμο φορτίο από τον απομακρυσμένο διακομιστή.

Μόλις το payload αποκρυπτογραφηθεί και ξεκινήσει - Το Triada αποκτά προνόμια συστήματος, τα οποία του επιτρέπουν να εισχωρεί σε άλλες διεργασίες και να εκτελεί πολλές κακόβουλες ενέργειες.

Προηγούμενες έρευνες που πραγματοποιήθηκαν σε payloads Triada παρουσίασαν τις ποικίλες κακόβουλες ικανότητες του Triada. Αυτές περιλαμβάνουν την εγγραφή του χρήστη σε διάφορες συνδρομές επί πληρωμή, την πραγματοποίηση αγορών εντός της εφαρμογής χρησιμοποιώντας τα SMS και τον αριθμό τηλεφώνου του χρήστη, την εμφάνιση διαφημίσεων (συμπεριλαμβανομένων αόρατων διαφημίσεων που εκτελούνται στο παρασκήνιο) και την κλοπή διαπιστευτηρίων σύνδεσης και άλλων πληροφοριών χρήστη και συσκευής.

Πώς να προστατεύσετε τη συσκευή σας από Trojan Malwares

  • Κατεβάζετε πάντα τις εφαρμογές σας από αξιόπιστες πηγές, είτε πρόκειται για επίσημες ιστοσελίδες είτε για επίσημα καταστήματα και αποθετήρια εφαρμογών.
  • Ελέγξτε ποιος είναι ο συγγραφέας και δημιουργός της εφαρμογής πριν τη λήψη. Μπορείτε να διαβάσετε σχόλια και αντιδράσεις προηγούμενων χρηστών πριν από τη λήψη
  • Να είστε προσεκτικοί με τις άδειες που ζητούνται από την εγκατεστημένη εφαρμογή και αν είναι πράγματι απαραίτητες για τη λειτουργία της πραγματικής εφαρμογής.

H Check Point έχει επίσης συγκεντρώσει μια συλλογή IOC δειγμάτων Triada στο VT: https://www.virustotal.com/gui/collection/03ca78b275634b0311acdd552353e0c05936a73b516f80f9f3777ab16f0a8e4d.

... σχόλια | Κάνε click για να σχολιάσεις
Επιχειρώ - epixeiro.gr
Επιχειρώ - epixeiro.gr