Forskere ved Zscaler har nylig rapportert en ondsinnet Android app som forfalsket den legit app som heter BatteryBot Pro. Den falske app inneholdt pakken navnet “com.polaris.BatteryIndicatorPro”. Så snart Google ble klar over den onde hensikter, Selskapet fjernet appen fra Play-butikken.
Kort oppsummering av skadelig App
Applikasjonen bedt dreven tillatelser fra brukeren i et forsøk på å fullt ut kontrollere Android-enhet. Målet med de kriminelle bak denne svindelen var å samle nok enheter som det ville ha generert dem profitt fra klikksvindel, premium SMS bedrageri og annonsesvindel. Men deres fornærmende hensikter ikke slutt med dette da de forsøkte å gi laste ned og installere andre ondsinnede Android-pakker kalt APK.
ekte vs. Ondsinnet BatteryBot Pro App
Den falske app BatteryBot Pro kommer i en gratis og Pro-versjonen og er en velkjent batteriindikator app for Android-enheter. Den legitime applikasjonen har blitt lastet ned mer enn 500,000 ganger, henhold til Google Play-statistikk.
Ifølge forskeren av Zscaler, Shivang Desai den ondsinnede app ber om dusinvis av tillatelser, og mange av dem er godartet. Den ondsinnede inkluderer tillatelse til å sende SMS-meldinger, koble til Internett, få kontoer, montere og avmontere filsystemer, laste ned uten varsel og behandle utgående anrop.
Sammenlignet med den ondsinnede app, tillatelsene som legit app forespørsler er ganske begrenset. De omfatter å lese og modifisere innholdet av en USB-lagringsenhet, tillatelse til å kjøre ved oppstart, deaktivere låseskjermen, styre vibrasjon og hindre enheten fra sovende.
→“Ved installasjon av ondsinnet app, det krevde administratortilgang, som tydelig skildrer motiv av malware utvikleren å oppnå full kontroll tilgang til offerets enhet. Når det gis tillatelse, den falske applikasjonen vil gi samme funksjonalitet til offeret funnet i den opprinnelige versjonen av BatteryBot Pro, men utfører ondsinnet aktivitet i bakgrunnen,”Forklarte Shivang Desai i en Zscaler rapport.
Dess…
I tillegg til informasjonen for bjørne av app, Zscaler påpekt samle spesifikke data fra en enhet. Informasjon fra det tilgjengelige minnet, IMEI-nummeret, plassering, Språk, SIM-kortet tilgjengelighet, enhetsmodell oppnås. En annen bjørne merke laster ulike biblioteker for å forfølge klikksvindel. Men, den mest irriterende bjørne er subtil motta en liste over annonser som skal vises sammen med nettadresser for hvor du skal få inn annonser. På kort tid, enheten begynner å laste ned flere APK og viser popup-annonser til brukeren.
Men, den mest svimlende faktum oppdaget er at så lenge app gevinster admin-tilgang kan det ikke bli fjernet av brukeren.
→“Den malware stille installerer en app med en pakke navn com.nb.superuser, som løper som en annen tråd og befinner seg på enheten, selv om programmet er slettet kraftig. Denne fungerer som en tjeneste og sender forespørsler til hardkodede URL-adresser som finnes i app,”Sa Desai.
Dermed, en gangvei mellom enheten og den angriper innføres, og nye forespørsler kan gjøres.