Истражувачите за безбедност во Malwarebytes неодамна детално опишаа една таква кампања што ја забележале, која започнува со фишинг е-пошта што ги намамува луѓето на лажна страница на Google наречена google-prism[dot]com.
Кибер-криминалците почнаа да користат прогресивни веб-апликации (PWA) за нивните злонамерни активности на Android уреди, а експертите предупредуваат дека тие крадат податоци за најавување, податоци за крипто паричници, GPS информации и друго, објавува techradar.com.
Истражувачите за безбедност во Malwarebytes неодамна детално опишаа една таква кампања што ја забележале, која започнува со фишинг е-пошта што ги намамува луѓето на лажна страница на Google наречена google-prism[dot]com. На таа страница, под маската на подобрување на безбедноста, жртвите се подложени на четиристепена „безбедносна“ проверка, која вклучува инсталација на злонамерна прогресивна веб-апликација.
За оние кои не се запознаени, PWA се во основа веб-страници што можат да се инсталираат и да работат како обични апликации на уред, но работат преку веб-прелистувач, давајќи им одредени предности што напаѓачите ги злоупотребуваат.
По инсталацијата, злонамерната апликација бара дозволи за испраќање известувања, пристап до податоци од таблата со исечоци (таблата со исечоци) и други функции на прелистувачот, и инсталира таканаречен „сервис работник“ кој овозможува push известувања и извршување задачи во позадина. Потоа малициозниот софтвер почнува да собира податоци секој пат кога ќе се отвори апликацијата. Содржината на таблата со исечоци, адресите на крипто паричниците, еднократните лозинки што пристигнуваат преку WebOTP API, контактите, GPS податоците, како и деталите за идентификација на уредот се целни.
Бидејќи информациите можат да се собираат само додека апликацијата е активна, PWA ќе почне да испраќа лажни push известувања за да ја измами жртвата да ја отвора што е можно почесто. Покрај кражбата на податоци, апликацијата воспоставува и реле базирано на WebSocket и функционира како HTTP прокси, што им овозможува на напаѓачите да пренасочуваат веб-барања, да скенираат внатрешни мрежи, па дури и да пристапуваат до локални ресурси на компромитиран уред.
Во некои случаи, според Malwarebytes, жртвата се охрабрува и да преземе „придружна апликација“ рекламирана како „критична безбедносна надградба“. Таа апликација, наменета за понаивни корисници, бара многу пошироки дозволи и се регистрира како администратор на уред.
Ова им овозможува на напаѓачите подлабок пристап до системот, вклучувајќи пресретнување на СМС пораки, евидентирање на притискањата на тастатурата преку прилагодена тастатура, следење на известувања, крадење на акредитиви и обезбедување долгорочно присуство на уредот.
Како да отстраните злонамерна апликација?
Ако се сомневате дека сте инсталирале таква апликација, можете да се обидете да ја отстраните со барање на запис наречен „Проверка на безбедноста“ во листата на инсталирани апликации. Во случај да најдете апликација наречена „Системска услуга“ со име на пакетот „com.device.sync“ на уредот, која има администраторски пристап, прво мора да го поништите тој пристап. Можете да го направите ова со одење во Поставки – Безбедност – Апликации за администрирање на уредот (Поставки – Безбедност – Апликации за администратор на уред), а потоа можете да го деинсталирате.
(Пословни дневник)
Фото – Pixy.org
