Ditulis ku SangRyol Ryu jeung Yukihiro Okutomi
McAfee‘S Mobile Panalungtikan Qeam nembe nembe dianalisis targeting malware pangmayaran mobile pamaké di Jepang. Malware Anu baheula disebarkeun dina Anu Google Play toko pura-pura janten A sah kaamanan mobile aplikasi, Tapi anjeunna nyaeta kanyataanna A pamayaran trik malware maling sandi sareng nyiksa proxy sabalikna targeting jasa pamayaran mobile. McAfee panalungtik ngabejaan Google ngeunaan aplikasi bahaya, スマホ安心セキュリティatawa ‘Smartphone Anshin Security‘ngaran pakét ‘com.z.cloud.px.app‘ Jeung ‘com.z.px.appx‘. aplikasi nu geus euweuh dina Google Play. Google Play Nangtayungan ogé geus nyokot léngkah pikeun ngajaga pamaké ku nganonaktipkeun aplikasi jeung nyadiakeun A peringatan. Produk McAfee Mobile Security ngadeteksi ancaman ieu salaku Android/ProxySpy.
Kumaha korban masang malware ieu?
aktor Malware terus diterbitkeun jahat aplikasi asup Anu Google Play Toko kalawan rupa-rupa pamekar akun. Numutkeun informasi dipasang dina twitter ku YusAnjeunka OsumiPanaliti Kaamanan di Yahoo! Jepang, panyerang ngirimkeun SMS pesen ti luar nagri kalawan A Tumbu Google Play pikeun mamingan pamakéS pikeun masang malware. Pikeun narik langkung seueur panggunaSpesen enajak pamaké pikeun ngapdet software kaamanan.
pesen SMS ti Fbalapan (ti pos Twitter ku Yusuke)
Malware dina Google Play
Tim Panaliti Seluler ogé mendakan yén aktor malware nganggo Google Drive pikeun nyebarkeun malware éta. Sabalikna tina masang aplikasi saatos ngaunduh file APK, Google Drive ngamungkinkeun para pangguna masang file APK tanpa ngantunkeun jejak sareng ngajantenkeun prosés pamasangan langkung saderhana. Sakali pangguna ngaklik tautan, éta ngan ukur peryogi sababaraha sentuhan deui pikeun ngajalankeun aplikasi. Ngan tilu klik anu cekap upami pangguna sateuacana ngijinkeun pamasangan aplikasi anu teu dipikanyaho dina Google Drive.
Saatos béwara ti peneliti McAfee, Google parantos ngahapus file Google Drive anu dipikanyaho pakait sareng hashes malware anu didaptarkeun dina éntri blog ieu.
Naon rupa malware ieu?
Iraha pamaké masang Jeung ngaluncurkeun malware ieunanya Pikeun Anu Sandi jasa. pinter, malware nembongkeun pesen sandi salahS pikeun ngumpulkeun Anu Deui luyu sandiS. Tangtosna, anjeunna No urusan naha sandina leres atanapi henteu. Anjeunna A jalan ti meunang Anu Sandi jasa. Anu Sandi jasa dipaké pikeun Anu jasa pamayaran Anu nyadiakeun pangmayaran online gampangS. Pamaké tiasa ngamimitian jasa pamayaran ieu ku netepkeun A Sandi jasa. Fee bakal dibayar babarengan jeung tagihan telepon sélulér.
Kumaha malware ieu jalan?
Aya perpustakaan asli ngaranna ‘libmyapp.so’ dimuat salila palaksanaan aplikasi writen di Golang. Perpustakaannalika dimuat, coba sambungkeun ka Anu Ngagunakeun server C2 hiji Wéb stop kontak listrik. Pesen Aplikasi wéb Protokol (WAMP) dipaké pikeun komunikasi jeung prosés Télépon Prosedur Jauh (PPK). Iraha Anu sambungan dijieun, malware ngirimkeun informasi jaringan babarengan Anu nomer telepon. Saterusna, anjeunna ngadaptar Anu pesenan prosedur klienS dijelaskeun dina tabél di handap. Sambungan stop kontak wéb disimpen hirup jeung takeS Anu tindakan luyu nalika Anu Ngarajaan nyaeta nampi ti server kawas Agén. Jeung stop kontak dipaké pikeun ngirim Anu Sandi jasa kaluar ka Anu penyerang nalika pamaké asup Sandi jasa dina kagiatan.
| Ngaran Fungsi RPC | Émbaran |
| disambungkeun ka | Jieun proxy sabalikna tur sambungkeun ka server jauh |
| mutuskeun | Pegatkeun sambungan proxy sabalikna |
| meunang_status | Kirimkeun kaayaan proxy sabalikna |
| Meunang informasi | Kirim nomer saluran, jinis sambungan, operator sareng saterasna |
| toggle_wifi | Setel Wi-Fi ON/OFF |
| show_battery_opt | Témbongkeun dialog pikeun ngaluarkeun optimasi batré pikeun karya latar |
Pedaran fungsi RPC didaptarkeun
Pikeun ngadamel pameseran palsu nganggo inpormasi anu bocor, panyerang kedah dianggo pamaké jaringan. paréntah RPC’toggle_wifi‘ tiasa alihan sambungan status ka Wi-Fi atawa jaringan seluler, Jeung ‘disambungkeun ka‘ bakal nyadiakeun proxy sabalikna ka panyerang. Mundur Proxy Tiasa hayu nyambung host tukangeun A NAT (Tarjamahan Alamat Jaringan) atawa A firewalls. Ngaliwatan proxypanyerang bisa ngirim pamundut beuli via pamaké jaringan.
kacindekan
Anu pikaresepeun nyaéta malware ngagunakeun proxy sabalikna pikeun maok jaringan pangguna sareng ngalaksanakeun jasa Agen sareng WAMP. Tim Panaliti Mobile McAfee bakal terus mendakan ancaman sapertos kieu sareng ngajagi para nasabah tina ancaman mobile. Disarankeun langkung ati-ati nalika ngalebetkeun kecap akses atanapi inpormasi rahasia kana aplikasi anu teu dipercaya.
IOC (Indikator Kompromi)
193[.]239[.]154[.]23
91[.]204[.]227[.]132
ruboq[.]com
| SHA256 | Ngaran pakét | Distribusi |
| 5d29dd12faaafd40300752c584ee3c072d6fc9a7a98a357a145701aaa85950dd | com.z.cloud.px.app | Google Play |
| e133be729128ed6764471ee7d7c36f2ccb70edf789286cc3a834e689432fc9b0 | com.z.cloud.px.app | Lain |
| e7948392903e4c8762771f12e2d6693bf3e2e091a0fc88e91b177a58614fef02 | com.z.px.appx | Google Play |
| 3971309ce4a3cfb3cdbf8abde19d46586f6e4d5fc9f54c562428b0e0428325ad | com.z.cloud.px.app2 | Lain |
| 2ec2fb9e20b99f60a30aaa630b393d8277949c34043ebe994dd0ffc7176904a4 | com. jg. rc. papp | Google Drive |
| af0d2e5e2994a3edd87f6d0b9b9a85fb1c41d33edfd552fcc64b43c713cdd956 | com.de.rc.tingali | Google Drive |
#Aplikasi #kaamanan #palsu #kapanggih #nyalahgunakeun #sistem #pamayaran #Jepang