APLIKÁCIE A HRYBezpečnosťSpravodajstvo

Pozor na tieto Android aplikácie, mnohých ľudí obrali o peniaze, tvrdia experti. Viaceré z nich sa šírili aj cez Obchod Play

Analytici z Trend Micro identifikovali dve nové rodiny škodlivého kódu, ktorých cieľom je nabúrať sa obetiam do finančných aplikácií a vybieliť ich.

Analytici zo spoločnosti Trend Micro identifikovali dve nové rodiny škodlivého kódu, ktorých cieľom je nabúrať sa obetiam do finančných aplikácií a vybieliť ich.

CherryBlos: Cieľom útočníkov boli kryptopeňaženky

Prvá kampaň útočníkov zneužíva hlavne sociálne siete na propagovanie podvodných služieb, ktoré vedú na phishingové stránky lákajúc ľudí, aby si do zariadenia stiahli infikované aplikácie vírusom.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

Stiahnutý malvér CherryBlos sa sústreďuje hlavne na kryptopeňaženky ľudí. Funguje tým spôsobom, že ako si ľudia vyberajú prostriedky, resp. ich posielajú z jednej peňaženky do druhej, tak mení regulárne adresy na adresy útočníkov. Modus operandi pri tomto útoku je, keď obeť skopíruje reťazec zodpovedajúci preddefinovanému formátu, ktorý sa skopíruje do schránky, tak útočník zmení pôvodný reťazec na nový. Infikované aplikácie boli rovnako schopné aj nahrádzať regulárne prihlasovacie okná do peňaženiek falošnými oknami, pomocou ktorých zbierali prihlasovacie údaje používateľov.

Tento škodlivý softvér identifikovali výskumníci pomerne nedávno a to ešte v apríli tohto roka. Analytikom sa podarilo vystopovať aj prvotný zdroj softvéru, ktorý bol distribuovaný z telegramového účtu „Ukraine ROBOT“, ktorý od začiatku roku 2023 uverejňoval správy súvisiace s ťažbou kryptomien.

V apríli tohto roka správca tejto skupiny sprístupnil škodlivý kód cez vlákno. Neskôr výskumníci identifikovali CherryBlos vo viacerých mobilných aplikáciách, ktoré sa medzičasom dostali do obehu.

disitrubicia CherryBlos
Zdroj: Trend Micro Research

Nižšie si môžete pozrieť zoznam infikovaných aplikácií vrátane názvov inštalačných súborov a phishingových domén, ktoré sa výskumníkom podarilo identifikovať.

Názov aplikácie Názov inštalačného súboru Phishing doména
GPTalk com.gptalk.wallet chatgptc[.]io
Happy Miner com.app.happyminer happyminer[.]com
Robot 999 com.example.walljsdemo robot999[.]net
SynthNet com.miner.synthnet synthnet[.]ai

„Ako už bolo uvedené, malvér CherryBlos bol navrhnutý tak, aby ukradol poverenia súvisiace s kryptomenovou peňaženkou a nahradil adresy použité počas procesu výberu.“, vysvetľujú analytici modus operandi útočníkov.

Spoločnosť Trend Micro doplnila, že sa im podarilo nájsť aplikáciu vyvinutú hackermi aj v Obchode Google Play, ale bez škodlivého softvéru. Aplikáciu s názvom Synthnet medzičasom spoločnosť Google stiahla z ponuky.

Kampaň FakeTrade: Tieto aplikácie boli dostupné aj v Obchode Play

Ako sme vyššie spomínali, tak výskumníkom sa podarilo identifikovať celkovo dve kampane. Druhou je FakeTrade. V tomto prípade boli škodlivé aplikácie distribuované aj cez Obchod Play a to najmenej od roku 2021. Experti na…

Článok pokračuje na ďalšej strane.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy
1 2Nasledujúca strana
Zobraziť komentáre
Close
Close