Eine neue tschechische Android Trojan wurde erkannt, die die QRecorder App zum Imitieren gefunden wurde. Eine Aussage von der Polizei zeigt, dass der Hacker oder Gruppe dahinter bereits gestohlen über hat 78 000 Euro von Opfer-Konten.
Gefälschte QRecorder App Stellt sich heraus, ein Tscheche Android Trojan zu sein
Diese Woche hat die tschechische Polizei berichtet, dass eine neue gefährliche Android Trojan hat sich als besonders aktiv sein, fand heraus,. Fünf Opfer aus der Tschechischen Republik sind bisher bekannt wurden davon betroffen. Die aktuellen Proben werden auf verschiedene Repositories als gefälschte Kopie des QRecorder App verbreiten. Erfolgreiche Installationen aus dem Google Play-Repository allein Zahl mehr als 10 000 Instanzen. Die impersonating App selbst ist eine Anrufaufzeichnung Lösung, ihre Beschreibung und die beigefügten Screenshots zeigen einen typischen Eintrag keine verdächtigen Elementen.
Wie andere beliebte Android-Bedrohungen bei der Installation und zum ersten Mal ausgeführt werden Berechtigungen anfordern über andere Anwendungen zu ziehen. Als sie die Tschechische Android Trojaner in der Lage zu kontrollieren, was angezeigt wird dem Benutzer erteilt wurden. Dies wird seine integrierten Verhaltensmuster auslösen, eine der ersten Aktionen, die getan werden, um die Infektion zu den kriminellen Controller zu berichten. Die Analyse zeigt, dass innerhalb von 24 Stunden die infizierten Geräte erhalten Anweisungen. Wenn keine Anweisungen der Android Trojan gegeben initiieren keine Aktion.
Die Angreifer wurden gefunden Firebase Nachrichten verwenden, um mit den Trojan-infizierten Geräten zu kommunizieren. Der Slave-Malware QRecorder App prüft auf das Vorhandensein von vordefinierten Banking-Apps. Falls keine Links gefunden werden, um verschlüsselte Nutzlasten finden. Das Slave-Client wird sie herunterladen und den Inhalt entschlüsseln. Vor dem dieser Schritt wird der Benutzer aufgefordert zusätzliche Berechtigungen eingeleitet wird - die Zugänglichkeit Dienst zu aktivieren. Durch sie wird die Infektion durchgeführt werden.
Wenn der Code Nutzlast ausgeführt wird, wird es für den Download und die Einführung bestimmter Bankanwendungen überwachen. Ein Betrug Overlay wird erstellt, die automatisch alle Berechtigungsnachweis wird ernten, die von den Opfern Benutzer eingegeben werden.
Die Textzeichenfolgen, die in den trojanischen Quellcode gefunden wurden zeigen, dass die Hauptziele Polnisch zu sein scheinen, Tschechische und deutsche Bänke. Bisher zwei Pakete wurden gefunden, die Android Trojaner enthalten:
- com.apps.callvoicerecorder
- gjfid.pziovmiq.eefff
Die offizielle Erklärung kann sein hier abgerufen.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: