Onderzoekers van Zscaler hebben onlangs melding van een kwaadaardige Android app die de legit app genaamd BatteryBot Pro spoofed. De vervalste app bevatte de naam van het pakket “com.polaris.BatteryIndicatorPro”. Zodra Google zich bewust werd van de opzet, het bedrijf is verwijderd van de app uit de Play Store.
Korte samenvatting van de Malicious App
De app buitensporige gevraagde rechten van de gebruiker in een poging om het Android apparaat volledig besturen. Het doel van de criminelen achter deze zwendel was om genoeg apparaten te verzamelen omdat het hen profiteren van klikfraude zou hebben gegenereerd, premium SMS fraude en ad fraude. Maar hun onrechtmatige bedoelingen niet eindigen met dit als ze probeerden te downloaden en installeren van andere kwaadaardige Android-pakketten genoemd APK bieden.
Real vs. Schadelijke BatteryBot Pro App
De vervalste app BatteryBot Pro wordt geleverd in een gratis en Pro-versie en is een bekende batterij-indicator-app voor Android-apparaten. De legitieme app is meer dan gedownload 500,000 keer, volgens de statistieken van Google Play.
Volgens de onderzoeker van Zscaler, Shivang Desai de kwaadaardige app vraagt tientallen permissies, en velen van hen zijn goedaardig. De slechte bedoelingen zijn onder andere toestemming om SMS-berichten te verzenden, Toegang tot internet, krijgen accounts, koppelen en ontkoppelen bestandssystemen, downloaden zonder kennisgeving en uitgaande oproepen verwerken.
In vergelijking met de kwaadaardige app, de machtigingen die de legit app verzoeken nogal beperkt. Zij omvatten het lezen en wijzigen van de inhoud van een USB-opslagapparaat, toestemming om bij het opstarten, het vergrendelingsscherm uitschakelen, controle trillingen en het apparaat naar slaapmodus voorkomen.
→“Bij de installatie van de kwaadaardige app, eiste administratieve toegang, die duidelijk portretteert het motief van malware ontwikkelaar om volledige controle over de toegang tot het apparaat van het slachtoffer te verkrijgen. Zodra de toestemming wordt verleend, de nep-app zal dezelfde functionaliteit aan het slachtoffer gevonden in de originele versie van BatteryBot Pro bieden, maar presteert schadelijke activiteiten op de achtergrond,”Verklaarde Shivang Desai in een Zscaler rapport.
Bovendien…
In aanvulling op de informatie voor de slechte dienst van de app, Zscaler opgemerkt verzamelen van gegevens uit een inrichting. Informatie uit het beschikbare geheugen, het IMEI nummer, plaats, taal, SIM-kaart beschikbaarheid, het apparaatmodel verkregen. Nog een slechte dienst merkte laadt verschillende bibliotheken om klikfraude te streven. Echter, de meest irritante slechte dienst is subtiel het ontvangen van een lijst van advertenties samen worden weergegeven met de URL's waar in de advertenties te brengen. In een korte tijd, begint het apparaat meer APK en displays pop-up advertenties te downloaden naar de gebruiker.
Echter, de meest onthutsend feit ontdekt is dat zolang de app krijgt admin toegang kan niet worden verwijderd door de gebruiker.
→“De malware installeert in stilte een app met een pakket naam van com.nb.superuser, dat wil zeggen als een andere thread en bevindt zich op de inrichting, zelfs indien de kracht wordt verwijderd app. Dit werkt als een dienst en stuurt verzoeken tot hard-coded URL's gevonden in de app,”Zei Desai.
Dus, een pad tussen het apparaat en de aanvaller wordt geïntroduceerd en nieuwe aanvragen kunnen worden gemaakt.