Η Ricerca del punto di controllo (RCP) ha rilevato sei applicazioni in Play Store di Google che diffondono malware spacciandosi per soluzioni antivirus.
Γconosciuto come Squalobot, il malware ruba le credenziali e le informazioni bancarie. Durante la sua ricerca, il CPR contato 1.000 IP univoci indirizzi di dispositivi infetti, principalmente nel Regno Unito e in Italia. Tuttavia, le sue statistiche Google Play Store ha rivelato che le applicazioni dannose sono state scaricate più di 11.000 volte.
Essa Squalobot attira le sue vittime tramite avvisi spingere e indurre gli utenti a inserire le credenziali in ambienti che imitano i moduli di immissione dei dati. IL CPR sospetta che la minaccia sia di lingua russa e avverte gli utenti Android di tutto il mondo di prestare la massima attenzione prima di scaricare soluzioni antivirus Play Store.
- Essa 62% delle vittime è stato trovato in Italia, 36% nel Regno Unito, 2% in altri paesi
- Gli operatori delle minacce hanno implementato la recinzione geografica, che ignora gli utenti dei dispositivi in Cina, India, Romania, Russia, Ucraina e Bielorussia
- CPR ha immediatamente segnalato il le sue scoperte su Google, che ha rimosso le applicazioni dannose
Η Ricerca del punto di controllo (RCP) Ha scoperto sei applicazioni che diffondono malware bancario sul Google Play Store camuffato da soluzioni antivirus. Malware, noto come "SqualobotRuba le credenziali e le informazioni bancarie degli utenti Android. Il Squalobot invoglia le sue vittime a inserire le proprie credenziali in finestre che imitano i moduli di immissione delle credenziali. Quando un utente inserisce i propri dati lì, i dati compromessi vengono inviati a un server dannoso. IL CPR ha scoperto che i creatori di malware avevano implementato una funzione di geolocalizzazione che ignora gli utenti del dispositivo nel Cina, India, Romania, Russia, Ucraina o Bielorussia.
Le sei applicazioni dannose
Quattro delle applicazioni provenivano dai loro tre account sviluppatore Avanzi Adamcik, Adelmio Pagnotto e Bingo Like Inc. Quando CPR ha controllato la cronologia di questi account, ha scoperto che due di essi erano attivi nell'autunno del 2021. Alcune delle app collegate a questi account sono state rimosse da Google Play, ma esistono ancora nei mercati informali. Ciò potrebbe significare che la persona dietro le applicazioni sta cercando di rimanere "sotto il radar" mentre è ancora impegnata in attività dannose.
Le vittime
CPR è stato in grado di raccogliere statistiche per una settimana. Durante questo periodo, ha contato più di 1.000 vittime della PI. Ogni giorno, il numero delle vittime aumentava di circa 100. Secondo le sue statistiche Google Play, le sei applicazioni dannose rilevate da CPR sono state scaricate più di 11.000 volte. La maggior parte delle vittime si trova nel Regno Unito e in Italia.
Figura 2,% delle vittime per paese
La metodologia dell'attacco
- Motivare l'utente a concedere diritti di accesso a un'applicazione
- Successivamente, il malware ottiene il controllo di gran parte del dispositivo della vittima
- Gli autori di minacce possono anche inviare avvisi push alle vittime che contengono collegamenti dannosi
I dettagli dell'attacco
La RCP non dispone di dati sufficienti per attribuire la responsabilità a un'ubicazione specifica. Possiamo presumere che gli autori del malware parlino russo. Inoltre, il malware non eseguirà la sua funzionalità dannosa se il dispositivo si trova localmente in Cina, India, Romania, Russia, Ucraina o Bielorussia.
Annunciamo responsabilmente
Immediatamente dopo aver individuato queste applicazioni che diffondono Sharkbot, CPR ha annunciato le sue scoperte a Google. Dopo aver esaminato le applicazioni, Google ha proceduto alla rimozione permanente di queste applicazioni dal Google Play Store. Lo stesso giorno in cui il CPR ha riportato i risultati a Google, il team NCC pubblicato una ricerca separata per Sharkbot, citando una delle applicazioni dannose.
Il suo commento Alexander Chalytko, Responsabile Sicurezza Informatica, Ricerca & Innovazione, Software Check Point:
Penso che sia importante che tutti gli utenti Android sappiano che devono stare molto attenti prima di scaricare qualsiasi soluzione antivirus dal Play Store. Potrebbe essere Sharkbot.
Suggerimenti per la sicurezza per gli utenti Android
- Installa solo applicazioni da editori affidabili e verificati.
- Se vedi un'applicazione di un nuovo editore, cercane una da uno affidabile.
- Segnala a Google tutte le applicazioni apparentemente sospette che incontri.
Non dimenticare di seguirlo Xiaomi-miui.gr a Google News per essere subito informato su tutti i nostri nuovi articoli! Puoi anche se usi un lettore RSS, aggiungere la nostra pagina alla tua lista semplicemente seguendo questo link >> https://news.xiaomi-miui.gr/feed/gn
Seguici su Telegram in modo che tu sia il primo a conoscere ogni nostra novità!