Android XLoader nova varijanta

AUTOR · Published · Updated

Otkrivena Android XLoader nova varijanta koja se automatski izvršava na uređajima koje inficira, ne zahtjevajući interakciju korisnika za pokretanje.

XLoader

Android XLoader nova varijanta; Source: Bing Image Creator

XLOADER

XLoader, poznat još kao MoqHao je poznata porodica zlonamjernog softvera za Android povezan sa zlonamjernom grupom aktera Roaming Mantis koji je prvi put otkriven 2015. godine. Nedavno su sigurnosni istraživači otkrili da su zlonamjerni akteri započeli distribuciju ovog zlonamjernog softvera koristeći veoma opasnu tehniku.

Napadači šalju vezu za preuzimanje zlonamjerne aplikacije putem SMS poruke. Starija verzija zahteva od korisnika da instaliraju i pokrenu aplikaciju da bi se počele izvršavati zlonamjerne aktivnosti, ali ova nova varijanta ne zahteva izvršenje. Čim je aplikacija instalirana, ona započinje zlonamjerne aktivnosti automatski.

 

DISTRIBUCIJA

XLoader se distribuira putem phishing SMS poruka (napad poznat pod nazivom Smishing). Kada korisnik primi SMS poruku koja sadrži zlonamjernu vezu i klikne na nju, uređaj preuzima zlonamjernu aplikaciju. Ove APK datoteke su prikriveni da liče na legitimne aplikacije, uključujući pregledač Google Chrome a bi namamili žrtve da dozvole isporuku SMS poruka i pristup, rad aplikacija u pozadini i druge rizične dozvole.

U ovoj kampanji napadači koriste usluge skraćivanja URL adresa. Razlog za to se krije u toma da, ako napadač koristi sopstveni domen, on se može brzo blokirati, ali ako koriste legitimne usluge skraćivanja URL adresa, teško je blokirati kratki domen, jer bi to moglo da utiče na sve URL adrese koje koristi ta usluga. Kada korisnik klikne na vezu u poruci, usluga za skraćivanje URL adresa će je preusmjeriti na stvarnu zlonamjernu lokaciju.

 

NOVA VARIJANTA

Kao što je već ranije rečeno, ova varijanta se ponaša drugačije od prethodnih. Prethodne varijante XLoader zlonamjernog softvera korisnik mora da pokrene ručno nakon što se instalira, ali ova varijanta se pokreće automatski nakon instalacije bez interakcije korisnika.

Tehnika automatskog pokretanja se oslanja na dizajn Android operativnog sistema. To znači da  kada se aplikacija instalira i određena vrijednost koju aplikacija koristi bude jedinstvena, kôd se pokreće da provjeri da li je vrijednost jedinstvena nakon instalacije. Ova funkcija je ona koju zloupotrebljava veoma aktivna trojanska porodica XLoader da bi se automatski izvršila bez interakcije korisnika.

Pored toga, napadači koriste tehnike društvenog inžinjeringa da bi postavili zlonamjernu aplikaciju kao podrazumijevanu SMS aplikaciju. Pre nego što se pojavi prozor sa podešavanjima, prikazuje se poruka za podešavanje aplikacije kako bi se spriječila neželjene poruke, ali to je laž.

Nakon što je inicijalizacija zlonamjernog softvera završena, kreiraće kanal za obavještenja koji će se koristiti za prikazivanje phishing poruka. Zlonamjerni softver provjerava mrežnog operatera uređaja i koristi ovo obavještenje za slanje phishing poruka u skladu sa tim kako bi prevario korisnike da kliknu na njih. XLoader dobija phishing poruku i phishing URL sa Pinterest profila.

I ova varijanta se povezuje na C2 server preko WebSocket kanala komunikacije, ali za razliku od prethodnih, dodato je još nekoliko novih komandi.

 

“Ovu tehniku smo već prijavili Google-u i oni već rade na implementaciji ublažavanja kako bi spriječili ovu vrstu automatskog izvršavanja u budućoj Android verziji. Android korisnici trenutno su zaštićeni Google Play Protect-om, koji je podrazumijevano uključen na Android uređajima sa Google Play uslugama. Google Play zaštita može da upozori korisnike ili da blokira aplikacije za koje je poznato da pokazuju zlonamjerno ponašanje, čak i kada te aplikacije potiču iz izvora van Google Play prodavnice.”

 McAfee

 

ZAKLJUČAK

XLoader zlonamjerni softver je aktivan godinama i koristi sve više različitih načina da dođe do korisnika. Primjetan je porast C2 komandi nego u prethodnim verzijama, aktivna upotreba legitimnih platformi kao što je Pinterest za skladištenje i ažuriranje phishing podataka i kôd sa potencijalom da cilja azijske zemlje kao što su Japan i Južna Koreja, kao i zemlje poput Francuske, Njemačke i Indije. Sigurnosni istraživači očekuju da će ova varijanta imati veliki uticaj, jer inficira uređaje jednostavnim instaliranjem bez potrebe da je korisnik pokrene.

 

ZAŠTITA

Korisnici mogu dodatno zaštititi svoje uređaje i umanjiti rizike povezane sa ovim vrstama zlonamjernog softvera prateći sljedeće preporuke:

  • Korisnici Android operativnog sistema treba da izbjegavaju instalaciju aplikacija iz nezvaničnih izvora i prodavnica aplikacija trećih strana i da se drže pouzdanih platformi kao što je Google Play prodavnica, koje primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu zaštitu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,
  • Potrebno je biti oprezna sa dolaznim SMS porukama i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
  • Edukacija korisnika o phishing prijetnjama, naglašavajući rizike povezane sa otvaranjem priloga ili klikom na linkove u neželjenim porukama, kao i obuka za prepoznavanje taktika socijalnog inženjeringa koje koriste zlonamjerni akteri, omogućava korisnicima da izbjegnu da postanu žrtve obmanjujućih trikova koji vode ka izvršavanju zlonamjernih datoteka,
  • Pouzdana sigurnosna aplikacija za Android operativni sistem štiti uređaj korisnika od zlonamjernih aplikacija. Sigurnosne aplikacije pružaju dodatni sloj zaštite skeniranjem i identifikacijom potencijalno štetnih aplikacija, otkrivanjem zlonamjernog softvera i upozoravanjem korisnika na sumnjive aktivnosti,
  • Korisnici trebaju prilikom preuzimanja aplikacije iz Google Play prodavnice trebaju obratiti pažnju na na recenzije korisnika (možda nisu dostupne u nezvaničnim prodavnicama). Ključno je biti svjestan da pozitivne kritike mogu biti lažne kako bi se povećao kredibilitet zlonamjernih aplikacija. Korisnici bi trebalo da se usredsrede na negativne kritike i pažljivo procjene zabrinutosti korisnika, jer mogu otkriti važne informacije o zlonamjernoj aplikaciji,
  • Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju će aplikacija primjenjivati. Takođe, tokom instalacije aplikacije veoma je važno obratiti pažnju na podatke i dozvole kojima aplikacija traži pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije,
  • Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.