SÅ MEGET FOR BOUNCER: NEW ANDROID MALWARE BRUGER FACEBOOK TIL AT SPREDE - TECHCRUNCH - ANDROID - 2018

Anonim

Selv om Google for nylig indførte et malware-blokeringssystem kaldet Bouncer for at holde Android-markedet sikkert fra ondsindet software, håndterer spændende spammere og svindlere stadig at finde måder omkring begrænsningerne for at få deres software til brugernes telefoner. Det seneste eksempel? Et malware-program forklædt, uskyldigt, som en Android-app kaldet "any_name.apk." Og det ser ud til, at malware bruger Facebooks app på Android-telefoner for at sprede sig.

Softwaren blev opdaget af sikkerhedsfirmaet Sophos, som stødte på malware efter at have modtaget en Facebook-venneanmodning. Ved at tjekke brugerens profil fandt forskeren, Vanja Svajcer, et link til anmelderens Facebook profilside, der, da han klikede, rettede browseren til en webside, der startede en automatisk download af et ukendt softwareprogram til enheden.

Softwaren installeres og downloades straks uden nogen anmodning om tilladelse eller input fra slutbrugeren. Selvom Svajcer ikke nævner dette i sin analyse, for at software automatisk installeres uden for Google Android Market, skal telefonens standardindstillinger være blevet ændret. Android-telefoner leveres typisk med en indstilling, der er tændt, hvilket forhindrer mobilapps i at installere fra kilder udover det officielle Android Market. Mange kyndige Android-brugere skifter denne indstilling dog, fordi de nyder den frihed, som Android giver, når de opdager apps fra alternative appbutikker og download steder - som f.eks. Den skattekiste, der er XDA Developers forum.

Desværre er malware som dette den ubehagelige bivirkning. Og der er ikke noget Bouncer kan gøre ved det. Linket, som forskeren klikker på, syntes ikke at være en APK-fil som sin webadresse, blot et typisk websted. Og det blev placeret i brugerens Om mig-sektion på Facebook, som om det var et link til personens hjemmeside.

Selvfølgelig ville mange mennesker simpelthen ignorere en venneanmodning fra en person, de ikke vidste, men nysgerrighed bliver ofte bedre af os. ( Kender jeg dem? Skal vi mødes på et tidspunkt, og jeg har glemt?) En urolig klik, og oops, du er smittet.

I dette særlige tilfælde ser den pågældende malware ud til at være et program, der er designet til at tjene penge til svindlere gennem premium-pristelefontjenester, en svindel, der er populær uden for USA, for det meste, hvilket indebærer, at intetanende brugere sender sms-beskeder til premium-satsnumre (dem der opkræver). De svindlere, der driver numrene, ender med at samle pengene fra ofrenes konti.

Appen forsøger at forbinde sig med Opera-browseren, og en krypteret konfigurationsfil indeholder opkaldskoderne for alle de støttede lande, hvor præmiefrekvensnumre er hostet.

Som en sidebesked: Et par dage senere besøgte forskeren samme URL, men blev rettet til en helt ny hjemmeside, hvor en anden APK-fil blev downloadet automatisk (hilarisk kaldet "allnew.apk"). Denne var funktionelt ens, men forskellig på det binære niveau, hvilket indikerede, at det var en ny variant af samme malware.

Måske er det tid for Android's Bouncer fyr at blive præinstalleret på håndsæt også?

OPDATERING: Vi talte til Google om dette problem, og de fortæller os, at softwareinstallationsprocessen, der blev vist i Sophos-videoen, ikke kunne forekomme som vist. Selv med en APK-fil, der ikke er markedsført på markedet, ville appen have downloadet til enheden, men yderligere brugerinitierede trin skulle skulle have fundet sted, før softwaren blev installeret og kørte som vist. Vi afventer endnu et svar fra Sophos på den front.

For at være klar er Bouncer et godt første skridt i retning af at beskytte Android-brugere, men uanset hvilke metoder der bruges til at låse ned Android Market, kan spammere og svindlere altid finde en anden måde.

UPDATE # 2: Vi nåede ud til forskeren, og her er hans svar.

Malware er downloadet, men ikke automatisk installeret. Derfor viser videoen bare download. Men for almindelige brugere kan det stadig være et alvorligt angreb. Efter min erfaring kontrollerer de sjældent tilladelserne, når de installerer en app. Simple social engineering tricks kan bruges til at narre dem til at installere appen.

Så selv om dette ikke udnytter nogen Android sårbarhed, er det en interessant kombination af et webbaseret angreb, der henvender sig til Android-enheder. Og det er selvfølgelig interessant at se, at Facebook bliver brugt af Android malware purveyors på denne måde.