W sklepie Amazon Appstore wykryto złośliwą aplikację szpiegującą dla systemu Android, nazwaną „BMI CalculationVsn”, udającą narzędzie zdrowotne i potajemnie kradnącą dane użytkowników. Ta aplikacja była zidentyfikowany przez badaczy McAfee Labs, którzy niezwłocznie powiadomili Amazon, co skutkowało jego usunięciem ze sklepu. Jednakże użytkownicy, którzy wcześniej zainstalowali aplikację, muszą ją ręcznie usunąć i przeprowadzić pełne skanowanie, aby zapewnić całkowite usunięcie oprogramowania szpiegującego.
W sklepie Amazon Appstore wykryto złośliwą aplikację szpiegującą
Aplikacja BMI CalculationVsn, opublikowana przez „PT Visionet Data Internasional”, stara się prezentować jako prosty kalkulator wskaźnika masy ciała (BMI). Użytkownicy napotykają pozornie prosty interfejs, który pozwala im wprowadzić swoją wagę i wzrost w celu obliczenia BMI; jednakże w tle wykonywane są dodatkowe, złowrogie funkcje.
Po aktywacji aplikacja inicjuje usługę nagrywania ekranu, prosząc o pozwolenie, gdy użytkownik kliknie przycisk „Oblicz”. Ta taktyka może oszukać użytkowników i zmusić ich do odruchowego udzielania zezwoleń. Chociaż dochodzenie firmy McAfee wykazało, że nagrane wideo jest przechowywane lokalnie w postaci pliku MP4, nie zostało ono przesłane na serwer dowodzenia i kontroli (C2). Unikanie to jest prawdopodobnie spowodowane tym, że aplikacja wciąż znajduje się na etapie rozwoju.
Dalsza analiza historii aplikacji wykazała, że pojawiła się ona po raz pierwszy 8 października, ze zmianami w ikonie, dodaniem kolejnych złośliwych funkcji i aktualizacjami informacji o certyfikacie do końca miesiąca.
Funkcjonalności i zabezpieczenia przed kradzieżą danych
Aplikacja Mickey CalculationVsn podejmuje różne szkodliwe działania mające na celu naruszenie bezpieczeństwa użytkownika. Oprócz nagrywania ekranu skanuje urządzenie w poszukiwaniu innych zainstalowanych aplikacji, co może umożliwić atakującym opracowanie strategii kolejnych kroków na podstawie uzyskanych informacji. Ta funkcja umożliwia skuteczniejszą identyfikację docelowych użytkowników.
Co więcej, oprogramowanie szpiegujące przechwytuje i zbiera wiadomości SMS przechowywane na urządzeniu, potencjalnie przechwytując hasła jednorazowe (OTP) i kody weryfikacyjne. Przechwycone dane SMS są następnie przesyłane do magazynu Firebase, co wyraźnie wskazuje na skoordynowane wysiłki mające na celu wydobycie wrażliwych informacji o użytkowniku.
Botnet BADBOX infekuje ponad 192 000 urządzeń z systemem Android na całym świecie
Prace nad aplikacją pozostają w toku, ponieważ badania jej poprzednich próbek sugerują, że nadal znajduje się ona w fazie testów. Kontrola kodu wykazała, że pierwotna wersja była uruchamiana jako aplikacja do nagrywania ekranu, której funkcjonalność została później przekształcona po zmianie ikony na ikonę kalkulatora BMI.
Twórca BMI CalculationVsn działa pod nazwą „PT Visionet Data Internasional”, co wydaje się nadużywać reputacji legalnego dostawcy usług zarządzania IT dla przedsiębiorstw w Indonezji. Sugeruje to, że twórca szkodliwego oprogramowania ma wiedzę techniczną i może posiadać wiedzę na temat zasad tworzenia oprogramowania.
W świetle tego odkrycia użytkownikom zaleca się zachowanie czujności podczas pobierania aplikacji ze sklepu Amazon Appstore, który jako alternatywa dla Google Play może zawierać aplikacje omijające tradycyjne zabezpieczenia. Środki ostrożności, które należy rozważyć, obejmują instalację zaufanego oprogramowania antywirusowego, dokładne sprawdzanie żądanych uprawnień aplikacji i zwracanie uwagi na nietypowe zachowanie urządzenia, które może wskazywać na złośliwą aktywność.
Pomimo usunięcia aplikacji z Appstore ryzyko dla użytkowników, którzy ją zainstalowali, pozostaje.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
