Maliciozni programi za učitavanje koji mogu trojanizovati Android aplikacije se trguju u kriminalnom podzemlju za do 20.000 dolara kao način da se izbjegne odbrana Google Play Store-a.
“Najpopularnije kategorije aplikacija za sakrivanje malicioznog softvera i neželjenog softvera uključuju tragače kriptovaluta, finansijske aplikacije, skenere QR kodova, pa čak i aplikacije za upoznavanje” rekao je Kaspersky u novom izvještaju zasnovanom na porukama objavljenim na online forumima između 2019. i 2023. godine.
Dropper aplikacije su primarno sredstvo za hakere koji žele ušunjati maliciozni softver putem Google Play trgovine. Takve aplikacije se često maskiraju kao naizgled bezazlene aplikacije, sa malicioznim ažuriranjima koja se uvode nakon prolaska procesa pregleda. Takve aplikacije su prikupile značajnu korisničku bazu.
Ovo se postiže korištenjem programa za učitavanje koji je odgovoran za ubrizgavanje malicioznog softvera u čistu aplikaciju, koja je zatim dostupna za preuzimanje sa tržišta aplikacija. Korisnici koji instaliraju neovlaštenu aplikaciju bivaju upitani da joj dodijele nametljiva dopuštenja kako bi se omogućile maliciozne aktivnosti.
Aplikacije, u nekim slučajevima, takođe uključuju funkcije protiv analize kako bi otkrile da li se otklanjaju greške ili instaliraju u zaštićenom okruženju, i ako je tako, zaustavljaju svoje operacije na ugroženim uređajima.
Kao drugu opciju, hakeri mogu kupiti Google Play račun programera, bilo hakovan ili novokreiran od strane prodavaca, za bilo koji iznos između 60 i 200 dolara, ovisno o broju već objavljenih aplikacija i broju preuzimanja.
Nalozi programera aplikacija kojima nedostaje jaka lozinka ili zaštita od dvofaktorne autentikacije (2FA) mogu se trivijalno razbiti i staviti na prodaju, čime se drugim hakerima omogućava da uploaduju maliciozni softver u postojeće aplikacije.
Treća alternativa je korištenje usluga povezivanja APK-a, koje su odgovorne za skrivanje maliciozne APK datoteke u legitimnoj aplikaciji, za distribuciju malicioznog softvera putem phishing tekstova i sumnjivih web stranica koje reklamiraju crack-ovane igre i softver.
Usluge povezivanja, za razliku od loader-a, koštaju manje zbog činjenice da zatrovane aplikacije nisu dostupne preko Google Play Store-a. Značajno je dodati da je tehnika korištena za isporuku Android bankovnih trojanaca kao što su SOVA i Xenomorph u prošlosti.
Neke druge nezakonite usluge koje se nude za prodaju na tržištima kibernetičkog kriminala uključuju prikrivanje malicioznog softvera (30 USD), web ubrizgavanje (25-80 USD) i virtualne privatne servere (300 USD), od kojih se potonji mogu koristiti za kontrolu zaraženih uređaja ili za preusmjeravanje korisničkog prometa.
Nadalje, napadači mogu kupiti instalacije za svoje Android aplikacije, legitimne ili druge, putem Google Ads-a za 0,5 USD u prosjeku. Troškovi instalacije variraju u zavisnosti od ciljane zemlje.
Kako bi ublažili rizike koje nosi maliciozni softver za Android, korisnicima se preporučuje da se suzdrže od instaliranja aplikacija iz nepoznatih izvora, pažljivo prouče dozvole aplikacija i održavaju svoje uređaje ažurnim.
Izvor: The Hacker News