Expertii Kaspersky au descoperit malware-ul MobOk, creat pentru a fura bani, ascuns in aplicatii aparent legitime de editare a fotografiilor, disponibile in magazinul Google Play.

La momentul depistarii pericolului, aplicatiile, intitulate „Camera Pink" si „Camera Pink 2", fusesera instalate in jur de 10.000 de ori.

Aplicatiile au fost concepute pentru a fura informatii personale de la victime, pe care le folosesc pentru a le inscrie ulterior la abonamente platite.

Victimele au descoperit ca au fost afectate cand au vazut costuri neasteptate in factura lor de telefonie mobila. Aplicatiile au fost eliminate din magazinul Google Play.

Malware-ul MobOk este un backdoor – unul dintre cele mai periculoase tipuri de malware, deoarece ii ofera atacatorului un control aproape total asupra dispozitivului infectat.

In ciuda faptului ca tot ce este incarcat in Google Play este atent filtrat, nu este pentru prima oara cand amenintarile si-au facut loc pe dispozitivele utilizatorilor.

In multe cazuri, backdoor-urile sunt acoperite de o aplicatie semi-functionala, care la prima vedere pare a fi o incercare slaba, dar inocenta, de a crea o aplicatie legitima.

Din acest motiv, aplicatiile Pink Camera nu au starnit suspiciuni, avand incluse functii autentice de editare a fotografiilor si fiind descarcate din magazinul Google Play.

Insa, de indata ce utilizatorii incepeau sa-si editeze fotografiile utilizand Pink Camera, aplicatiile solicitau acces la notificari si acest lucru initia activitatea periculoasa in fundal.

Scopul acestei activitati era abonarea utilizatorului la servicii de telefonie mobila pe baza de abonament platit. Acestea arata, de obicei, ca pagini web ce ofera un serviciu in schimbul unei plati zilnice, care este adaugata la factura telefonului mobil.

Acest model de plata a fost initial dezvoltat de operatorii de retele mobile pentru a facilita abonarea clientilor la servicii premium, dar acum infractorii cibernetici profita uneori de ele.

Odata ce o victima era infectata, malware-ul MobOk colecta informatii despre dispozitiv, cum ar fi numarul de telefon asociat, pentru a folosi aceste informatii in etapele ulterioare ale atacului.

Apoi, atacatorii trimiteau dispozitivului infectat detalii despre pagini web cu servicii pe baza de abonament platit, iar malware-ul le deschidea, actionand ca un browser secret, din fundal.

Utilizand numarul de telefon obtinut mai devreme, malware-ul il introducea  in campul „inregistrare" si confirma achizitia.

Dat fiind ca avea control total asupra dispozitivului si putea sa verifice notificarile, malware-ul tasta codul de confirmare SMS atunci cand intra –totul farasa anunte utilizatorul. Victima incepea sa suporte costurile pana cand observa platile pe factura de telefon si se dezabona de la fiecare serviciu.

„Capacitatea de editare a fotografiilor de pe Pink Cameras nu era impresionanta, dar ceea ce au putut face in spatele cortinei este remarcabil: abonarea utilizatorilor la servicii platite, in limbile rusa, engleza si thailandeza, monitorizarea SMS-urilor si solicitarea codului Captcha – pe care trebuie sa il scrii ca sa dovedesti ca nu esti robot –pentru recunoastere din partea serviciilor online. Aceasta inseamna ca au avut si posibilitatea de a fura bani din conturile bancare ale victimelor. Teoria noastra este ca atacatorii din spatele acestor aplicatii au creat si serviciile de abonament, dintre care nu toate erau autentice, cat si malware-ul care a atras abonatii si le-au proiectat pentru a ajunge la o audienta internationala", a declarat Igor Golovin, security researcher la Kaspersky.

Pentru a evita sa cada victima aplicatiilor de acest gen, cercetatorii Kaspersky ii sfatuiesc pe utilizatori:

• Retineti ca inclusiv o sursa de incredere, cum ar fi un magazin oficial de aplicatii, poate contine aplicatii periculoase. Fiti vigilenti si verificati mereu permisiunile aplicatiei pentru a vedea tot ce au voie sa faca. Verificati evaluarile aplicatiilor si recenziile din magazinele oficiale, cum ar fi Google Play sau App Store. Aplicatiile periculoase vor primi uneori ratinguri scazute, iar utilizatorii vor posta comentarii care ii avertizeaza pe altii despre riscul de malware. Daca intentionati sa instalati o astfel de aplicatie, acordati o atentie deosebita permisiunilor cerute.
• Instalati actualizari de sistem si aplicatii de indata ce sunt disponibile –acestea remediaza vulnerabilitatile si protejeaza dispozitivele.
• Utilizati o solutie de securitate eficienta, pentru o protectie completa impotriva unei game largi de amenintari – de tipul Kaspersky Security Cloud.

Share articol: