Badacze z firmy Threat Fabric odkryli zestaw nowych dropperów przeznaczonych do przenoszenie złośliwego oprogramowania atakującego smartfony oraz tablety z systemem operacyjnym Android. Droppery są trudne do zatrzymania, a ich celem jest zainstalowanie na urządzeniu ofiary złośliwego kodu. Nie budzą one podejrzeń wśród użytkowników, ponieważ realizują swoją funkcjonalność, aczkolwiek za kulisami prowadzą szkodliwe działania. Co istotne, potrafią stosunkowo łatwo prześlizgnąć się przez się przez kontrolę bezpieczeństwa platformy Google Play.
Kampania SharkBot
Pierwsza kampania droppera zauważona przez Threat Fabric miała miejsce na początku października bieżącego roku. Dropper instalował na urządzeniach ofiar trojana bankowego SharkBot. Jest to złośliwe oprogramowanie kradnące dane uwierzytelniające z legalnych formularzy logowania do witryn, przechwytujące dane wpisywane na klawiaturze, ukrywające wiadomości SMS oraz przejmujące zdalną kontrolę nad urządzeniem mobilnym.
Naukowcy odkryli dwie nieszkodliwie wyglądające aplikacje typu dropper, „Codice Fiscale 2022” i „File Manager Small, Lite”, obie służą do instalowania SharkBot na urządzeniach mobilnych ofiar.
Pierwsza aplikacja, „Codice Fiscale 2022”, jest zamaskowana jako narzędzie do obliczania płatności podatkowych we Włoszech i została pobrana 10 000 razy. Gdy użytkownik zainstaluje złośliwą aplikację dropper, ta poprosi go o zainstalowanie fałszywej aktualizacji, która zainstaluje malware SharkBot na jego urządzeniu.
Natomiast aplikacja dropper File Manager dostarcza SharkBot o szerszym zasięgu, atakujący klientów banków we Włoszech, Wielkiej Brytanii, Niemczech, Hiszpanii, Polsce, Austrii, Australii i Stanach Zjednoczonych.
Kampania Vultur
Inna kampania wykorzystująca aplikacje typu dropper dostarcza szkodliwego trojana Vultur obsługiwanego przez cyberprzestępcę znanego jako „Projekt Brunhilda”. Przestępcy po zainstalowaniu na urządzeniu Vultura mogą śledzić wszelkie kliknięcie, gesty i inne działania podejmowane przez ofiarę.
Droppery rozprowadzające Vultur:
‘Recover Audio, Images & Videos’ – 100,000 pobrań
‘Zetter Authentication’ – 10,000 pobrań
‘My Finances Tracker’ – 1,000 pobrań
Jak bronić się przed dropperami?
Korzystanie z dropperów staje się z jedną z częściej stosowanych metod instalowania złośliwego oprogramowania. Między innymi dlatego, że stosunkowo łatwo omijają skanery wykrywania oszustw.
– Wszystko wskazuje na to, że cyberprzestępcy będą wykorzystywać droppery na coraz szerszą skalę, bowiem jest to rozwiązanie z ich punktu widzenia ekonomiczne i skalowalne. Bardziej wyrafinowane taktyki wymagają poświęcenia więcej zasobów niż droppery. Te ostatnie pozwalają napastnikom łatwo wtargnąć do oficjalnych sklepów z aplikacjami i dotrzeć do szerokiej, niczego niepodejrzewającej publiczności – mówi Mariusz Politowicz z firmy Marken, dystrybutor rozwiązań Bitdefender.
Wadą dropperów jest konieczność zaangażowania się potencjalnych ofiar w przynajmniej jedną ręczną czynność, ponieważ muszą się zgodzić na instalację ładunków. Jednak hakerzy robią wszystko, aby użytkownik połknął haczyk i starają się dopracować witryny oraz interfejsy w taki sposób, aby nie budziły jakichkolwiek podejrzeń wśród klientów Google Play.
– Jeżeli to możliwe, należy nie zezwalać na aktualizacje ze zdalnych źródeł, a także analizować adresy URL, aby potwierdzić, iż aplikacja pochodzi z oficjalnego sklepu Google Play – dodaje Mariusz Politowicz.
Źródło: Marken