En ny tjekkisk Android Trojan er blevet opdaget, som har vist sig at udgive den QRecorder app. En erklæring fra politiet viser, at hacker eller gruppen bag det allerede har stjålet i løbet af 78 000 Euro fra offerkonti.
Falske QRecorder App viser sig at være en tjekkisk Android Trojan
I denne uge rapporterede det tjekkiske politi, at en ny farlig Android Trojan har vist sig at være særlig aktiv. Fem ofre fra Tjekkiet vides hidtil at have været berørt af det. De aktuelle prøver spredes på forskellige arkiver som en falsk kopi af QR-optagerappen. Succesrige installationer fra Google Play-arkivet alene tæller mere end 10 000 forekomster. Selve den efterlignende app er en løsning til opkaldsoptagelse, dens beskrivelse og vedhæftede skærmbilleder viser en typisk post uden mistænkelige elementer.
Ligesom andre populære Android-trusler ved installation og første kørsel vil den bede om tilladelse til at trække over andre apps. Når de er tildelt, vil den tjekkiske Android Trojan være i stand til at kontrollere, hvad der vises for brugeren. Dette vil udløse dets indbyggede adfærdsmønstre, en af de første handlinger, der udføres, er at rapportere infektionen til de kriminelle kontrollere. Analysen afslører, at inden for 24 timer modtager de inficerede enheder instruktioner. Når der ikke gives nogen instruktioner, starter Android Trojan ikke nogen handling.
Det har vist sig, at angriberne bruger Firebase-meddelelser til at kommunikere med de trojaninficerede enheder. Slave malware QRecorder-appen kontrollerer for tilstedeværelsen af foruddefinerede bankapps. Hvis der ikke findes nogen, vil der blive fundet links til krypterede nyttelast. Slaveklienten downloader dem og dekrypterer indholdet. Før dette trin startes, vil brugeren bede om yderligere tilladelser - for at aktivere tilgængelighedstjenesten. Gennem det udføres infektionen.
Når nyttelastkoden udføres, overvåger den download og start af visse bankapplikationer. Der oprettes et fidusoverlay, der automatisk høster alle legitimationsoplysninger, der er angivet af offerbrugerne.
De tekststrenge, der er fundet i Trojans kildekode, afslører, at hovedmålene ser ud til at være polske, Tjekkiske og tyske banker. Indtil videre har to pakker vist sig at indeholde Android Trojan:
- com.apps.callvoicerecorder
- gjfid.pziovmiq.eefff
Den officielle erklæring kan være tilgås her.