Πριν από πέντε χρόνια, ερευνητές ανακάλυψαν μια νόμιμη εφαρμογή Android στο Google Play που έγινε κρυφά κακόβουλη από μια βιβλιοθήκη που χρησιμοποιούσαν οι προγραμματιστές για να κερδίσουν διαφημιστικά έσοδα. Η εφαρμογή μολύνθηκε με κώδικα που έκανε 100 εκατομμύρια μολυσμένες συσκευές να συνδεθούν σε διακομιστές που ελέγχονται από τους εισβολείς και να κατεβάζουν αθόρυβα επιπλέον κακόβουλο λογισμικό.
Η ιστορία επαναλαμβάνεται.
Ερευνητές από την ίδια εταιρεία ασφαλείας που εδρεύει στη Μόσχα ανέφεραν τη Δευτέρα ότι βρήκαν δύο νέες εφαρμογές, που έχουν κατέβει από το Google Play 11 εκατομμύρια φορές. Οι εφαρμογές είχαν μολυνθεί από την ίδια οικογένεια κακόβουλου λογισμικού. Οι ερευνητές, από την Kaspersky, πιστεύουν ότι είναι υπεύθυνο κάποιο software developer kit για την ενσωμάτωση διαφημιστικών δυνατοτήτων.
Οι ερευνητές βρήκαν το κακόβουλο λογισμικό Necro σε δύο εφαρμογές του Google Play. Η μια ήταν η Wuta Camera, μια εφαρμογή με 10 εκατομμύρια λήψεις μέχρι σήμερα. Οι εκδόσεις Wuta Camera 6.3.2.148 έως 6.3.6.148 περιείχαν το κακόβουλο SDK.
Έκτοτε, η εφαρμογή ενημερώθηκε για να αφαιρέσει το κακόβουλο στοιχείο.
Μια ξεχωριστή εφαρμογή με περίπου 1 εκατομμύριο λήψεις, γνωστή και σαν Max Browser μολύνθηκε επίσης. Αυτή η εφαρμογή δεν είναι πλέον διαθέσιμη στο Google Play.
Οι ερευνητές βρήκαν επίσης ότι το Necro μολύνει πολλές άλλες εφαρμογές Android που διατίθενται σε εναλλακτικά stores. Αυτές οι εφαρμογές συνήθως εμφανίζονται σαν τροποποιημένες εκδόσεις νόμιμων εφαρμογών όπως τις Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer και Melon Sandbox.
Indicators of compromise
Applications infected with the loader
Application | Version | MD5 |
Wuta Camera | 6.3.6.148 | 1cab7668817f6401eb094a6c8488a90c |
6.3.5.148 | 30d69aae0bdda56d426759125a59ec23 | |
6.3.4.148 | 4c2bdfcc0791080d51ca82630213444d | |
6.3.2.148 | 4e9bf3e8173a6f3301ae97a3b728f6f1 | |
Max Browser | 1.2.4 | 28b8d997d268588125a1be32c91e2b92 |
1.2.3 | 52a2841c95cfc26887c5c06a29304c84 | |
1.2.2 | 247a0c5ca630b960d51e4524efb16051 | |
1.2.0 | b69a83a7857e57ba521b1499a0132336 | |
Spotify Plus (spotiplus[.]xyz) | 18.9.40.5 | acb7a06803e6de85986ac49e9c9f69f1 |
GBWhatsApp | 2.22.63.16 | 0898d1a6232699c7ee03dd5e58727ede |
FMWhatsApp | 20.65.08 | 1590d5d62a4d97f0b12b5899b9147aea |
Ευχαριστούμε για την ενημέρωση Είστε φοβεροί