חוקרי Zscaler דיווחו לאחרונה אפליקציית אנדרואיד זדונית מתחזה האפליקציה החוקית בשם פרו BatteryBot. אפליקציית מזויף הכילה את שם החבילה "com.polaris.BatteryIndicatorPro". ברגע גוגל הפך מודע כוונת זדון, החברה הסירה את האפליקציה מחנות Play.
סיכום קצר של היישום הזדוני
אפליקציית בקשה אישורים מופרזים מהמשתמש בניסיון לשלוט על מכשיר אנדרואיד מלא. מטרת הפושעים מאחורי הונאה זו הייתה לאסוף התקנים מספיק כפי שהוא היה נוצר להם רווח מן הונאת קליקים, הונאת SMS פרימיום והונאת מודעה. אבל הדבר המתעלל לא הסתיים בכך שהם ניסו לספק הורדה והתקנה של חבילות Android זדוניות אחרות נקראות ערכות APK.
ריאל vs. זדוניות BatteryBot Pro App
ה Pro BatteryBot האפליקציה המזויפת מגיע בגרסה חופשית פרו והוא אפליקציית אינדיקטור ידוע סוללה למכשירי אנדרואיד. אפליקציית הלגיטימי כבר הורד יותר מ 500,000 פעמים, על פי הסטטיסטיקה של Google Play.
לדברי החוקר של Zscaler, Shivang דסאי היישום הזדוני מבקש עשרות הרשאות, ורבים מהם הם שפירים. בעלי הכוונות חולות כוללים הרשאה לשלוח הודעות SMS, גישה לאינטרנט, לקבל חשבונות, הר ומערכות קבצים לנתקה, להוריד ללא הודעה ולעבד שיחות יוצאות.
לשם השוואה עם האפליקציה הזדונית, ההרשאות כי בקשות שיישום החוקיות מוגבלות למדי. הם כוללים קריאה ושינוי התוכן של התקן אחסון USB, רשות בעת ההפעלה, להשבית את מסך הנעילה, שולט ברטט למנוע את המכשיר למצב השינה.
→"לאחר התקנת האפליקציה הזדונית, זה דרש גישה ניהולית, אשר בבירור מתאר את המניע של מפתחי תוכנות זדוניים כדי לקבל גישת שליטה מלאה על המכשיר של הקורבן. לאחר והרשות נתונה, האפליקציה המזויפת תספק אותה פונקציונליות הקורבן שנמצא בגרסה המקורית של פרו BatteryBot אך מבצעת פעילות זדונית ברקע," הסביר Shivang דסאי בתוך דו"ח Zscaler.
יתר על כן…
בנוסף למידע על העוול של האפליקציה, Zscaler ציין איסוף נתונים ספציפיים מהתקן. מידע מן הזיכרון הזמין, מספר IMEI, מקום, שפה, הזמינות של כרטיסי SIM, הדגם של המכשיר מתקבל. עוד עוול לב טוען ספריות שונות על מנת להמשיך הונאת קליקים. למרות זאת, עוול הכי מעצבן הוא עדין מקבל רשימה של מודעות שיוצגו ביחד עם כתובות לאן להביא את המודעות. בזמן קצר, המכשיר מתחיל להוריד יותר ערכות APK ומציג מודעות קופצות למשתמש.
למרות זאת, העובדה המזעזעת ביותר שהתגלתה היא שכל עוד את הגישה המנהלתית רווח יישום זה לא ניתן להסיר על ידי המשתמש.
→"התוכנה הזדונית בשקט מתקינה אפליקציה עם שם חבילה של com.nb.superuser, אשר פועל כמו חוט שונה ומתגורר במכשיר גם אם האפליקציה נמחקת בכוח. זה פועל כשירות ושולח בקשות כתובות בקידוד קשיחות נמצאות האפליקציה," אומר דסאי.
לפיכך, ניתן לבצע מסלול בין המכשיר לבין התוקף הוא הציג בקשות חדשות.