Een nieuwe Tsjechische Android Trojan is gedetecteerd die is gevonden om de QRecorder app imiteren. Een verklaring van de politie blijkt dat de hacker of groep achter het al gestolen meer dan 78 000 Euro van slachtoffer accounts.
Fake QRecorder App blijkt een Tsjechische Android Trojan zijn
Deze week meldde de Tsjechische politie dat er een nieuwe gevaarlijke Android Trojan Gebleken is bijzonder actief te zijn. Vijf slachtoffers uit de Tsjechische Republiek is bekend dat tot nu toe zijn getroffen door deze. De huidige monsters zijn verspreid over verschillende repositories als een valse kopie van de QRecorder app. Succesvolle installaties uit de Google Play-repository alone nummer meer dan 10 000 instanties. De impersonating app zelf is een gespreksopname oplossing, de beschrijving en bijgevoegde afbeeldingen vitrine een typische ingang zonder verdachte elementen.
Net als andere populaire Android bedreigingen bij de installatie en de eerste termijn zal toestemmingen te vragen op te stellen ten opzichte van andere apps. Wanneer zij zijn verleend zal de Tsjechische Android Trojan in staat om controle te houden wat er wordt weergegeven aan de gebruiker. Dit zal de ingebouwde gedragspatronen leiden, een van de eerste acties die gedaan is om de infectie te melden om de criminele controllers. Uit de analyse blijkt dat binnen 24 uur de besmette apparaten ontvangt instructies. Als er geen instructies krijgen de Android Trojan zal geen actie te initiëren.
De aanvallers zijn gevonden om Firebase berichten te gebruiken om te communiceren met de Trojan-geïnfecteerde apparaten. De slaaf malware QRecorder app zal controleren op de aanwezigheid van vooraf gedefinieerde bankieren apps. Als er geen worden gevonden links worden gevonden om gecodeerde payloads. De slaaf klant zal ze downloaden en decoderen van de inhoud. Voordat de deze stap wordt gestart zal de gebruiker gevraagd aanvullende bevoegdheden - om de toegankelijkheid dienst te activeren. Doorheen de infectie zal worden uitgevoerd.
Wanneer de payload code wordt uitgevoerd zal het controleren op het downloaden en de lancering van bepaalde toepassingen voor bankieren. Een scam overlay zal worden gecreëerd die automatisch alle referenties die door het slachtoffer gebruikers worden ingevoerd zal oogsten.
De tekenreeksen die zijn gevonden in de Trojaanse broncode blijkt dat de belangrijkste doelstellingen lijken Pools te zijn, Tsjechische en Duitse banken. Tot nu toe zijn twee pakketten zijn gevonden om de Android Trojan bevatten:
- com.apps.callvoicerecorder
- gjfid.pziovmiq.eefff
De officiële verklaring kan zijn hier geraadpleegd.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: