{"id":6146,"date":"2024-02-11T20:03:56","date_gmt":"2024-02-11T19:03:56","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6146"},"modified":"2024-02-11T20:04:59","modified_gmt":"2024-02-11T19:04:59","slug":"android-xloader-nova-varijanta","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/02\/11\/android-xloader-nova-varijanta\/","title":{"rendered":"Android XLoader nova varijanta"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/android-xloader-malware-can-now-auto-execute-after-installation\/\" target=\"_blank\" rel=\"noopener\">Otkrivena <em>Android<\/em> <em>XLoader<\/em> nova varijanta<\/a> koja se automatski izvr\u0161ava na ure\u0111ajima koje inficira, ne zahtjevaju\u0107i interakciju korisnika za pokretanje.<\/span><\/p>\n<div id=\"attachment_6150\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6150\" class=\"size-full wp-image-6150\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Android-XLoader.jpg\" alt=\"XLoader\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Android-XLoader.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Android-XLoader-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Android-XLoader-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Android-XLoader-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Android-XLoader-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Android-XLoader-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Android-XLoader-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6150\" class=\"wp-caption-text\"><em>Android XLoader nova varijanta; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/11\/android-xloader-nova-varijanta\/#XLOADER\">XLOADER<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/11\/android-xloader-nova-varijanta\/#DISTRIBUCIJA\">DISTRIBUCIJA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/11\/android-xloader-nova-varijanta\/#NOVA_VARIJANTA\">NOVA VARIJANTA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/11\/android-xloader-nova-varijanta\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/11\/android-xloader-nova-varijanta\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"XLOADER\"><\/span><span style=\"font-size: 14pt;\"><strong><em>XLOADER<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>XLoader, <\/em>poznat jo\u0161 kao <em>MoqHao<\/em> je poznata porodica <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> za <em>Android<\/em> povezan sa zlonamjernom grupom aktera <em>Roaming<\/em> <em>Mantis<\/em> koji je prvi put otkriven 2015. godine. Nedavno su sigurnosni istra\u017eiva\u010di otkrili da su <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> zapo\u010deli distribuciju ovog zlonamjernog softvera koriste\u0107i veoma opasnu tehniku.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Napada\u010di \u0161alju vezu za preuzimanje zlonamjerne aplikacije putem <em>SMS<\/em> poruke. Starija verzija zahteva od korisnika da instaliraju i pokrenu aplikaciju da bi se po\u010dele izvr\u0161avati zlonamjerne aktivnosti, ali ova nova varijanta ne zahteva izvr\u0161enje. \u010cim je aplikacija instalirana, ona zapo\u010dinje zlonamjerne aktivnosti automatski.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"DISTRIBUCIJA\"><\/span><span style=\"font-size: 14pt;\"><strong>DISTRIBUCIJA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>XLoader<\/em> se distribuira putem <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a><em>SMS<\/em> poruka (napad poznat pod nazivom <em>Smishing<\/em>). Kada korisnik primi <em>SMS<\/em> poruku koja sadr\u017ei zlonamjernu vezu i klikne na nju, ure\u0111aj preuzima zlonamjernu aplikaciju. Ove <em>APK<\/em> datoteke su prikriveni da li\u010de na legitimne aplikacije, uklju\u010duju\u0107i pregleda\u010d <em>Google<\/em> <em>Chrome<\/em> a bi namamili \u017ertve da dozvole isporuku <em>SMS<\/em> poruka i pristup, rad aplikacija u pozadini i druge rizi\u010dne dozvole.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U ovoj kampanji napada\u010di koriste usluge skra\u0107ivanja <em>URL<\/em> adresa. Razlog za to se krije u toma da, ako napada\u010d koristi sopstveni domen, on se mo\u017ee brzo blokirati, ali ako koriste legitimne usluge skrac\u0301ivanja <em>URL<\/em> adresa, te\u0161ko je blokirati kratki domen, jer bi to moglo da uti\u010de na sve <em>URL<\/em> adrese koje koristi ta usluga. Kada korisnik klikne na vezu u poruci, usluga za skrac\u0301ivanje <em>URL<\/em> adresa \u0107e je preusmjeriti na stvarnu zlonamjernu lokaciju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"NOVA_VARIJANTA\"><\/span><span style=\"font-size: 14pt;\"><strong>NOVA VARIJANTA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kao \u0161to je ve\u0107 ranije re\u010deno, ova varijanta se pona\u0161a druga\u010dije od prethodnih. Prethodne varijante <em>XLoader<\/em> zlonamjernog softvera korisnik mora da pokrene ru\u010dno nakon \u0161to se instalira, ali ova varijanta se pokrec\u0301e automatski nakon instalacije bez interakcije korisnika.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tehnika automatskog pokretanja se oslanja na dizajn <em>Android<\/em> operativnog sistema. To zna\u010di da\u00a0 kada se aplikacija instalira i odre\u0111ena vrijednost koju aplikacija koristi bude jedinstvena, k\u00f4d se pokrec\u0301e da provjeri da li je vrijednost jedinstvena nakon instalacije. Ova funkcija je ona koju zloupotrebljava veoma aktivna trojanska porodica <em>XLoader<\/em> da bi se automatski izvr\u0161ila bez interakcije korisnika.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored toga, napada\u010di koriste tehnike dru\u0161tvenog in\u017einjeringa da bi postavili zlonamjernu aplikaciju kao podrazumijevanu <em>SMS<\/em> aplikaciju. Pre nego \u0161to se pojavi prozor sa pode\u0161avanjima, prikazuje se poruka za pode\u0161avanje aplikacije kako bi se sprije\u010dila ne\u017eeljene poruke, ali to je la\u017e.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon \u0161to je inicijalizacija zlonamjernog softvera zavr\u0161ena, kreirac\u0301e kanal za obavje\u0161tenja koji \u0107e se koristiti za prikazivanje<a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"> <em>phishing<\/em> poruka<\/a>. Zlonamjerni softver provjerava mre\u017enog operatera ure\u0111aja i koristi ovo obavje\u0161tenje za slanje <em>phishing<\/em> poruka u skladu sa tim kako bi prevario korisnike da kliknu na njih. <em>XLoader<\/em> dobija <em>phishing<\/em> poruku i <em>phishing<\/em> <em>URL<\/em> sa Pinterest profila.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">I ova varijanta se povezuje na <em>C2<\/em> server preko <em>WebSocket<\/em> kanala komunikacije, ali za razliku od prethodnih, dodato je jo\u0161 nekoliko novih komandi.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cOvu tehniku smo ve\u0107 prijavili Google-u i oni ve\u0107 rade na implementaciji ubla\u017eavanja kako bi sprije\u010dili ovu vrstu automatskog izvr\u0161avanja u budu\u0107oj Android verziji. Android korisnici trenutno su za\u0161ti\u0107eni Google Play Protect-om, koji je podrazumijevano uklju\u010den na Android ure\u0111ajima sa Google Play uslugama. Google Play za\u0161tita mo\u017ee da upozori korisnike ili da blokira aplikacije za koje je poznato da pokazuju zlonamjerno pona\u0161anje, \u010dak i kada te aplikacije poti\u010du iz izvora van Google Play prodavnice.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><em>&#8211; <\/em><a href=\"https:\/\/www.mcafee.com\/blogs\/other-blogs\/mcafee-labs\/moqhao-evolution-new-variants-start-automatically-right-after-installation\/\" target=\"_blank\" rel=\"noopener\"><em>McAfee<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>XLoader<\/em> zlonamjerni softver je aktivan godinama i koristi sve vi\u0161e razli\u010ditih na\u010dina da do\u0111e do korisnika. Primjetan je porast <em>C2<\/em> komandi nego u prethodnim verzijama, aktivna upotreba legitimnih platformi kao \u0161to je <em>Pinterest<\/em> za skladi\u0161tenje i a\u017euriranje <em>phishing<\/em> podataka i k\u00f4d sa potencijalom da cilja azijske zemlje kao \u0161to su Japan i Ju\u017ena Koreja, kao i zemlje poput Francuske, Njema\u010dke i Indije. Sigurnosni istra\u017eiva\u010di o\u010dekuju da \u0107e ova varijanta imati veliki uticaj, jer inficira ure\u0111aje jednostavnim instaliranjem bez potrebe da je korisnik pokrene.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Korisnici mogu dodatno za\u0161tititi svoje ure\u0111aje i umanjiti rizike povezane sa ovim vrstama zlonamjernog softvera prate\u0107i sljede\u0107e preporuke:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Korisnici Android operativnog sistema treba da izbjegavaju instalaciju aplikacija iz nezvani\u010dnih izvora i prodavnica aplikacija trec\u0301ih strana i da se dr\u017ee pouzdanih platformi kao \u0161to je <em>Google Play <\/em>prodavnica, koje primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu za\u0161titu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti oprezna sa dolaznim <em>SMS<\/em> porukama i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatno\u0107e da \u0107e pokrenuti proces infekcije ure\u0111aja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Edukacija korisnika o <em>phishing<\/em> prijetnjama, nagla\u0161avaju\u0107i rizike povezane sa otvaranjem priloga ili klikom na linkove u ne\u017eeljenim porukama, kao i obuka za prepoznavanje taktika socijalnog in\u017eenjeringa koje koriste zlonamjerni akteri, omogu\u0107ava korisnicima da izbjegnu da postanu \u017ertve obmanjujuc\u0301ih trikova koji vode ka izvr\u0161avanju zlonamjernih datoteka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pouzdana sigurnosna aplikacija za <em>Android<\/em> operativni sistem \u0161titi ure\u0111aj korisnika od zlonamjernih aplikacija. Sigurnosne aplikacije pru\u017eaju dodatni sloj za\u0161tite skeniranjem i identifikacijom potencijalno \u0161tetnih aplikacija, otkrivanjem zlonamjernog softvera i upozoravanjem korisnika na sumnjive aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Korisnici trebaju prilikom preuzimanja aplikacije iz <em>Google Play<\/em> prodavnice trebaju obratiti pa\u017enju na na recenzije korisnika (mo\u017eda nisu dostupne u nezvani\u010dnim prodavnicama). Klju\u010dno je biti svjestan da pozitivne kritike mogu biti la\u017ene kako bi se pove\u0107ao kredibilitet zlonamjernih aplikacija. Korisnici bi trebalo da se usredsrede na negativne kritike i pa\u017eljivo procjene zabrinutosti korisnika, jer mogu otkriti va\u017ene informacije o zlonamjernoj aplikaciji,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju \u0107e aplikacija primjenjivati. Tako\u0111e, tokom instalacije aplikacije veoma je va\u017eno obratiti pa\u017enju na podatke i dozvole kojima aplikacija tra\u017ei pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti oprezan prilikom pretra\u017eivanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadr\u017ee zlonamjerni softver koji mo\u017ee zaraziti ure\u0111aj prilikom otvaranja takvih stranica.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Otkrivena Android XLoader nova varijanta koja se automatski izvr\u0161ava na ure\u0111ajima koje inficira, ne zahtjevaju\u0107i interakciju korisnika za pokretanje. XLOADER XLoader, poznat jo\u0161 kao MoqHao je poznata porodica zlonamjernog softvera za Android povezan sa&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6150,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[187,431,628,765,345,763,61,766,764,399,710],"class_list":["post-6146","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-android","tag-apk","tag-c2","tag-google-chrome","tag-google-play","tag-moqhao","tag-phishing","tag-pinterest","tag-roaming-mantis","tag-sms","tag-xloader"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6146"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6146\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6150"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6146"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6146"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}