Trojaner Jocker, MobOk, Vesub und GriftHorse sind Apps und Google Play-Programme

Istraživači iz kompanije Kaspersky otkrili su nekoliko trojanizovanih aplikacija koje preko Google Play prodavnice šire poznati malver Jocker.

Brojni trojanci krišom pretplaćuju korisnike na servise koji se plaćaju. Obično su u pitanju legitimne usluge, ein prevaranti uzimaju deo naplaćene pretplate.

Korisnik koji želi da se pretplati na neku uslugu, obično treba da poseti veb sajt provajdera usluge i klikne na „pretplati se“. Trojanci kao što je Jocker mogu da simuliraju klik na „pretplati se“, ali provajderi usluga ponekad zahtevaju kod za potvrdu koji se šalje putem SMS-a. Neki servisi otežavaju automatizaciju pretplate korišćenjem CAPTCHA testa, dok drugi analiziraju saobraćaj i blokiraju pokušaje prevare. Ipak, neki malveri mogu zaobići barem neke od ovih zaštita od prevara.

Trojan.AndroidOS.Jocker može da presreće kodove poslate putem SMS poruka i da zaobiđe druga rešenja protiv prevara.

Jocker se obično širi preko Google Play prodavnice gde prevaranti preuzimaju legitimne aplikacije iz prodavnice, dodaju im zlonamerni kod i ponovo ih otpremaju u prodavnicu pod drugim imenom. Trojanizovane aplikacije u većini slučajeva ispunjavaju svoju primarnu svrhu, pa korisnici obično ne sumnjaju da su uzrok njihovih uvećanih računa.

Trojanizovane aplikacije svakodnevno se uklanjaju iz Play prodavnice ali nove zauzimaju njihovo mesto. Ne postoji neki šablon koje vrste aplikacije prevaranti biraju za sakrivanje trojanca Jocker. Istraživači su naveli primere trojanizovanih aplikacija koje su bile dostupne u Play prodavnici. U pitanju je jedan mesindžer (Style Message), aplikacija za merenje pritiska (Blutdruck-App) i aplikacija za skeneranje dokumenata pomoću kamere (Kamera-PDF-Scanner). Ove applikacije su uklonjene iz Google Play prodavnice, ali su i dalje dostupne u drugim prodavnicama aplikacija.

Kada se zaražena aplikacija instalira na uređaju, ona zahteva pristup porukama ako to zahteva njena legitimna funkcionalnost, na primer ako je u pitanju aplikacija za slanje poruka. U suprotnom zahteva pristup obaveštenjima. Iskačuća obaveštenja o primljenim porukama takođe sadrže tekst ovih poruka, tako da pristup obaveštenjima omogućava malveru da presretne kodove za potvrdu kako bi dovršio proces pretplate.

Podmukli trik koji koristi Jocker da zaobiđe proces proofer na Google Play je taj da je njegov zlonamerni kod „uspavan“ i aktivira se tek nakon što aplikacije postanu aktivne u Play prodavnici.

Von Januar 2021 bis März 2022. Jocker je najčešće napadao korisnike u Saudijskoj Arabiji (21,20%), Poljska je druga (8,98%), a Nemačka na trećem mestu (6,01%). Ostale zemlje u kojima je najviše zaraženih Android uređaja su Malezija (5,71%), Ujedinjeni Arapski Emirati (5,50%), Švajcarska (5,10%), Južna Afrika (4,12%), Österreich (3,96 %), Rusija (3,53 %) und Kina (2,91 %).

Još jedan trojanac za pretplatu kojeg su otkrili istraživači kompanije Kaspersky je Trojan.AndroidOS.MobOk. Auf je prvi setzen otkriven u zaraženoj aplikaciji na Google Play. Međutim, ovaj malver se sada uglavnom širi kao Nutzlast drugog trojanca pod nazivom Triada, koji je prisutan u predinstaliranim aplikacijama (obično sistemskim aplikacijama) na određenim modelima pametnih telefona. Takođe je pronađen u popularnim aplikacijama, kao što je prodavnica aplikacija APKPure ich Popularna modifikacija WhatsAppa.

Trojan.AndroidOS.MobOk funkcioniše slično kao Jocker. Stranica za pretplatu se otvara u nevidljivom prozoru i tamo se krišom unosi kod za potvrdu ukraden iz SMS poruke. Ako MobOk preuzme Triada, on nasleđuje Triadin pristup porukama, ali ako se MobOk širi sam, tražiće pristup obaveštenjima, slično kao Jocker.

MobOk se razlikuje od Jockera po dodatnoj mogućnosti zaobilaženja CAPTCHA. Trojanac dešifruje kod prikazan na slici tako što ga šalje posebnom servisu.

Istraživači Kaspersky Laba unterstützt auf Još jedan ove vrste, malver pod nazivom Trojan.AndroidOS.Vesub koji se širi preko nezvaničnih prodavnica und imitira popularne igre und aplikacije kao što su GameBeyond, Tubemate, Minecraft, GTA5 und Vidmate. Većina ovih aplikacija nema nikakvu legitimnu funkcionalnost. Proces pretplate koji primenjuje Vesub je sličan prethodno opisanim: malver otvara nevidljivi prozor, pretplaćuje korisnika i unosi kod dobijen putem SMS poruke.

Sve ove opisane aplikacije pretplaćuju korisnike na legitimne usluge trećih strana. Međutim, postoje i malveri koji pretplate korisnike na „uslugu“ autora aplikacije.

Možete se pretplatiti na neku od ovih usluga tako što jednostavno ne pročitate pažljivo korisnički ugovor. Na Primer, aplikacija Keto Plan koja je do nedavno bila dostupna na Google Play nudila je prilagođeni personalni plan za mršavljenje uz simboličnu naknadu. Sve što treba da uradite je da platite uslugu i dobijete svoj plan za mršavljenje, za koji prevaranti obećavaju da će biti poslat na vašu imejl adresu. Ako skrolujete do dna stranice, videćete da „usluga“ naplaćuje pretplatu sa automatskim obračunom. To znači da će se novac redovno skidati sa bankovnog računa korisnika, bez potrebe za ponovljenom potvrdom korisnika. To da aplikacija pretplaćuje korisnike na automatsku naplatu može se videti u odeljku recenzija na Google Play gde su se mnogi korisnici žalili da nisu mogli da otkažu pretplatu direktno preko aplikacije, dok drugi pominju da nikada nisplatu dobili plan za mršavljenje nakon.

Ich habe Stoji Trojan.AndroidOS entwickelt.GriffPferd. Istraživači Kaspersky Laba otkrili su veb sajtove koji koriste sličnu šemu pretplate ali za neke kurseve.

Da biste izbegli neželjene pretplate, izbegavajte instaliranje aplikacija iz nezvaničnih izvora, koji su najčešći izvor malvera. Budite oprezni i can install aplikacije sa Google Play: pročitajte recenzije, uslove korišćenja i plaćanja.

Čak i ako imate poverenja u aplikaciju, trebalo bi da izbegavate da joj date previše dozvola. Dozvolite pristup obaveštenjima samo aplikacijama kojima je to potrebno da bi radile ono zbog čega ste ih preuzeli. Aplikacijama poput onih za tematske pozadine ili uređivanje fotografija nije potreban pristup vašim obaveštenjima, kažu istraživači. Imajte to na umu!



Source: Informacija.rs by www.informacija.rs.

*The article has been translated based on the content of Informacija.rs by www.informacija.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!