Nakon opasnog virusa Keenadu, koji je bio registrovan i kod nas, pojavio se Starlink malware za Android uređaje. Zato, vodite računa gde i na koji način preuzimate Android aplikacije i pročitajte priču u nastavku.
Tim za globalna istraživanja i analizu kompanije Kaspersky (GReAT) otkrio je kampanju Android malvera u kojoj kriminalci distribuiraju trojanca BeatBanker. Skriven je pod maskom aplikacije Starlink za Android. Najugroženiji su korisnici iz Brazila, ali Kaspersky stručnjaci ne isključuju mogućnost da se sa pretnjom suoče i korisnici širom sveta.
Trojanac koristi rudar kriptovalute Monero, a dodatno instalira i alat za udaljenu administraciju BTMOB (Remote Administration Tool – RAT) na zaraženim uređajima. Kako bi obezbedio postojanost na uređaju, BeatBanker koristi neuobičajen mehanizam koji uključuje gotovo nečujnu audio-datoteku koja se automatski neprekidno ponavlja.
„U početku smo uočili da se BeatBanker distribuira pod maskom aplikacije za javne usluge. Instalirao je bankarski trojanac zajedno sa rudarom kriptovalute. Međutim, naše nedavne aktivnosti detekcije otkrile su novu kampanju sa drugom BeatBanker varijantom koja, umesto bankarskog modula, implementira BTMOB RAT. Napadači izgleda koriste novu `mamac strategiju` sa aplikacijom Starlink kako bi dosegli veći broj žrtava u različitim zemljama. Zbog toga je važno da korisnici ostanu oprezni. Neophodno je da koriste napredna rešenja za smartfon zaštitu“, poručuje Fabio Assolini, rukovodilac za Ameriku i Evropu Kaspersky GReAT tima.
Početni vektor infekcije
Stručnjaci veruju da sajber-kriminalci distribuiraju lažnu aplikaciju Starlink koja sadrži trojanca BeatBanker putem fišing stranica koje imitiraju Google Play prodavnicu. Nakon pokretanja na kompromitovanom uređaju, trojanac prikazuje korisnički interfejs koji takođe imitira Google Play. Sajber-kriminalci obmanjuju žrtve da odobre dozvole za instalaciju, čime se omogućava preuzimanje dodatnih skrivenih zlonamernih komponenti.
Modul za rudarenje kriptovaluta i BTMOB RAT
Kada korisnik klikne dugme UPDATE na lažnoj Google Play stranici, aktivira se rudar kriptovalute Monero. BeatBanker prati procenat napunjenosti baterije, temperaturu zaraženog pametnog telefona i aktivnost korisnika, nakon čega po potrebi pokreće ili zaustavlja skriveni rudar kriptovalute.
Android trojanac takođe instalira BTMOB RAT na kompromitovani uređaj. BTMOB omogućava potpunu udaljenu kontrolu nad uređajem i prodaje se kao usluga po modelu Malware-as-a-Service (MaaS). Ovaj alat je sposoban da automatski dodeljuje dozvole aplikacijama, sakriva sistemska obaveštenja i koristi mehanizme za presretanje podataka za otključavanje ekrana, uključujući PIN kodove, obrasce za otključavanje i lozinke. Malver takođe omogućava sajber-kriminalcima pristup prednjoj i zadnjoj kameri uređaja, praćenje GPS lokacije i kontinuirano prikupljanje osetljivih podataka.
Kako bi obezbedio infekciju i otežao deinstalaciju, BeatBanker održava stalno obaveštenje u prvom planu i aktivira foreground servis sa tihom reprodukcijom audio medija. Ova taktika je osmišljena tako da spreči operativni sistem da ukloni zlonameran proces.
Kaspersky proizvodi ovu pretnju detektuju kao HEUR:Trojan-Dropper.AndroidOS.BeatBanker i HEUR:Trojan-Dropper.AndroidOS.Banker.*.
Više informacija dostupno je na portalu Securelist.
Kako da vas ne prevari Starlink malware za Android, ali ni bilo koji drugi trojanac
Kako bi korisnici ostali zaštićeni od sajber pretnji, Kaspersky preporučuje da se upozorenje na Starlink malware za Android shvati ozbiljno. Evo i praktičnih saveta kako povećati i osigurati bezbednost na Android pametnim uređajima.
- Preuzimajte aplikacije samo iz zvaničnih prodavnica, Apple App Store i Google Play. Ipak, znajte da ni preuzimanje iz zvaničnih prodavnica nije uvek potpuno bez rizika
- Uvek proverite ocene i komentare aplikacija, koristite linkove samo sa zvaničnih sajtova i instalirajte pouzdan bezbednosni softver. Takav softver može otkriti i blokirati zlonamerne aktivnosti ukoliko se aplikacija pokaže kao prevara
- Proveravajte dozvole aplikacija koje koristite i pažljivo razmotrite pre nego što ih odobrite. Ovo je naročito važno kad se radi o rizičnim dozvolama kao što su Accessibility Services
- Na kraju, kao i uvek – redovno ažurirajte operativni sistem i važne aplikacije čim ažuriranja postanu dostupna. Na taj način se brojni bezbednosni problemi rešavaju prostom instalacijom novih verzija softvera.
Za razliku od Keendau virusa, Starlink malware za Android nije registrovan u Srbiji. Nadamo se da će tako i ostati. Uvek imajte zdravu dozu sumnje i proverite svaku aplikaciju i izvor aplikacije pre samog instaliranja.
