Δύο δυνητικά επικίνδυνες εφαρμογές με σημαντικό αριθμό λήψεων έχουν αφαιρεθεί από το Play Store της Google, όπως αναφέρουν οι ειδικοί στην ασφάλεια και στον κυβερνοχώρο Fox-IT
Αυτές οι επικίνδυνες εφαρμογές που υποτίθεται ότι σας προσφέρουν προστασία από ιούς – το Mister Phone Cleaner και το Kylhavy Mobile Security εγκαταστάθηκαν συλλογικά 60.000 φορές και στόχος τους ήταν να κλέψουν τα στοιχεία σύνδεσης τραπεζών εγκαθιστώντας μια εξελιγμένη έκδοση του διαβόητου κακόβουλου λογισμικού SharkBot.
Οι εφαρμογές αρχικά έγιναν διαθέσιμες στο κατάστημα εφαρμογών του Google Play Store, επειδή δεν περιείχαν κακόβουλο κώδικα ώστε να έχει κάποιο λόγο η Google να τις απορρίψει. Όμως όπως αποδείχτηκε στην συνέχεια, το Mister Phone Cleaner και το Kylhavy Mobile Security είναι εφαρμογές τύπου dropper ή βοηθητικές εφαρμογές, που έχουν δημιουργηθεί με σκοπό την παράδοση κακόβουλου λογισμικού στα Android τηλέφωνα.
Μετά από την εγκατάστασή τους από ανυποψίαστους χρήστες, αργότερα τους ζητήθηκε να εγκαταστήσουν μια ενημέρωση για να παραμείνουν προστατευμένοι από τις απειλές, η οποία στην πραγματικότητα ήταν ένας τρόπος εγκατάστασης του κακόβουλου λογισμικού SharkBot στα τηλέφωνο των θυμάτων.
Παρόλο που αυτές οι εφαρμογές δεν είναι πλέον διαθέσιμες στο Play Store, οι χρήστες που τις κατέβασαν στο παρελθόν πρέπει να τις διαγράψουν ΑΜΕΣΩΣ από τα τηλέφωνά τους, διαφορετικά κινδυνεύουν να υπάρξουν άσημες συνέπειες και να χάσουν χρήματα από τους τραπεζικούς τους λογαριασμούς.
Τι είναι το SharkBot και πως λειτουργεί μέσω των μολυσμένων εφαρμογών
Το SharkBot ανακαλύφθηκε για πρώτη φορά στα τέλη του 2021 και οι πρώτες εφαρμογές με αυτό το κακόβουλο λογισμικό βρέθηκαν στο Play Store τον Μάρτιο του τρέχοντος έτους. Ο στόχος της λειτουργίας του εκείνη την εποχή, ήταν η κλοπή πληροφοριών μέσω καταγραφής των πλήκτρων, της υποκλοπής μηνυμάτων κειμένου, της εξαπάτησης χρηστών χρησιμοποιώντας επιθέσεις επικάλυψης οθόνης για την αποκάλυψη ευαίσθητων πληροφοριών ή παροχής στους εγκληματίες του κυβερνοχώρου του απομακρυσμένου ελέγχου της μολυσμένης συσκευής, κάνοντας κατάχρηση των Υπηρεσιών Προσβασιμότητας στο Android.
Μια νεότερη αναβαθμισμένη έκδοση (2.25) που ονομάζεται SharkBot 2, εντοπίστηκε τον περασμένο Μάιο και στις 22 Αυγούστου από το Fox-IT, που έχει την δυνατότητα να μπορεί να κλέβει τα cookies από τις συνδέσεις των τραπεζικών λογαριασμών. Οι εφαρμογές που ανακαλύφθηκαν πρόσφατα να είναι μολυσμένες με το SharkBot 2.25, δεν κάνουν κατάχρηση των Υπηρεσιών Προσβασιμότητας και δεν απαιτούν κάποια επιπλέον δικαιώματα από το σύστημα του Android, καθώς θα ήταν δύσκολο να περάσουν από τους ελέγχους της Google και να πάρουν την έγκριση για την δημοσίευσή τους στο Play Store.
Αντίθετα, ζητούν από τους χρήστες των μολυσμένων εφαρμογών να λάβουν απευθείας από τον ίδιο τον διακομιστή του Sharkbot το μολυσμένο APK αρχείο, παρακάμπτοντας τις λήψεις μέσα από το Play Store της Google. Μετά από αυτό, οι εφαρμογές τύπου dropper που είναι εγκατεστημένες στην συσκευή του θύματος, ειδοποιούν τον χρήστη για μια νέα ενημέρωση της εφαρμογής, και του ζητούν να εγκαταστήσει το APK που του προτείνουν, αλλά και να επιτρέψει στην εφαρμογή να της δοθούν όλα τα απαιτούμενα δικαιώματα.
Για να αποφευχθεί ο αυτοματοποιημένος εντοπισμός του από το SafetyNet της Google, το SharkBot αποθηκεύει τηn διαμόρφωσή του κακόβουλου κώδικά του σε κρυπτογραφημένη Hard Code μορφή.
Μετά, χρησιμοποιώντας την καταγραφή των cookies που λαμβάνει η συσκευή, το SharkBot αφαιρεί αυτά τα έγκυρα cookies που έχουν περιορισμένη περίοδο λειτουργίας όταν ένας χρήστης συνδέεται στον τραπεζικό λογαριασμό του, και τα στέλνει απευθείας στον δικό τους διακομιστή εντολών και ελέγχου στο SharkBot.
Αυτά τα cookies που έχουν κλαπεί είναι πολύτιμα επειδή τους βοηθούν να αποφύγουν τους ελέγχους των δακτυλικών αποτυπωμάτων και να αποφεύγουν την απαίτηση διακριτικών ελέγχου ταυτότητας χρήστη σε ορισμένες περιπτώσεις. Έτσι μπορούν να εισέλθουν στους τραπεζικούς λογαριασμούς των χρηστών και να αδειάσουν τους λογαριασμούς που διαθέτουν χωρίς να το γνωρίζουν.
Εάν λοιπόν έχετε εγκαταστήσει και εσείς τις εφαρμογές Mister Phone Cleaner και το Kylhavy Mobile Security στην συσκευή σας, προχωρήστε αμέσως στην διαγραφή τους και αλλάξετε τους κωδικούς που έχετε ορίσει για την είσοδό σας στο WebBanking σε όσες εφαρμογές τραπεζών έχετε εγκαταστήσει στην συσκευή σας.
Μην ξεχάσετε να ακολουθήσετε το Xiaomi-miui.gr στο Google News για να ενημερώνεστε αμέσως για όλα τα νέα άρθρα μας ! Μπορείτε επίσης αν χρησιμοποιείτε RSS reader, να προσθέσετε την σελίδα μας στη λίστα σας, ακολουθώντας απλά αυτό τον σύνδεσμο >> https://xiaomi-miui.gr/feed/gn
Ακολουθήστε μας και στο Telegram ώστε να μαθαίνετε από τους πρώτους την κάθε μας είδηση!