Исследователи нашли в Google Play сканер QR-кодов с вирусом, крадущим данные банковских приложений Статьи редакции
Программа может получить доступ к информации клиентов «Сбера», «Тинькоффа», ВТБ и других банков.
- Эксперты компании по кибербезопасности ThreatFactor опубликовали отчёт о вирусах, которые распространяются через приложения в Google Play для кражи банковской информации.
- В России распространяется банковский троян Anatsa через приложение Free QR Сode Scanner от издателя QrBarBode LDC, выяснили исследователи. У приложения высокий рейтинг в Google Play и больше 50 тысяч скачиваний, есть положительные отзывы.
- После установки пользователю предлагают загрузить обновление. Вместе с ним программа оценивает устройство по идентификатору, модели, региону, стране и версии Android и определяет, стоит ли загружать вирус на телефон.
- Даже после загрузки вируса сканер QR-кода работает нормально, поэтому владелец заражённого устройства может ничего об этом не знать. Из-за того, что опасный код загружается отдельно от приложения, оно проходит проверки в Google Play.
- Среди российских банков, чьи данные могла украсть программа, исследователи перечислили «Сбер», «Тинькофф», «Уралсиб», «Почта-банк», ВТБ, «Райффайзен» и «ОТП-банк».
16
показов
54K
открытий
2
репоста
Решето! )) а вообще кстати неясно почему OS разрешает загрузку и запуск каких-то сторонних модулей, ведь ежу понятно что это открывает простор для любых троянов и вирусов и сводит всю безопасность «сторов» к нулю. С таким же успехом можно apk качать с любых помоек в инете и запускать
По умолчанию запуск таких .apk запрещен в системе. Если пользователь разрешает системе устанавливать скачанные с левых источников .apk, то автоматически соглашается на все риски и дальше сам виноват.
Если вы не в теме, то и писать не нужно, скачивается не apk, а dex файл, это скомпиленный байт код под андроид, потом с помощью ClassDexLoader он запускается, при этом никакие разрешения не нужны. Это всегда было в Андроиде и выпиливать никто не будет. Просто при статическом анализе кода, Гуглу не плохо было бы поинтересоваться, с какой целью реализован ClassDexLoader, а потом бубликовать в стор.
Я говорю как это выглядит для обычного пользователя, если он запускает скачанный с условного 4пда .apk файл. Тонкости того, что есть или нет в Android меня не интересуют.
DexClassLoader не даст тебе выйти за пределы песочницы, всё равно придется просить прав у юзера. Банально, чтобы dex прочитать. Ну и как правило они именно устанавливают APK.
Достаточно его просто скачать в папку с приложением, там права на чтение не нужны они и так уже есть
Ну ок. И что дальше?
Дальше, сервис мониторит запущенные приложения, при открытии приложения, запускается фейковая активити с просьбой ввести данные для авторизации, код из смс, для получения доступа к кабинету. При этом человек думает что условно он открыл сбер, а на самом деле это прилага qr-код
Права откуда на это взялись?) Или раз там магический DEX - то ему не надо?)
при открытии приложения, запускается фейковая активитиC SYSTEM_ALERT_WINDOW набедокурили в 6.0.1, конечно, но то дела минувших дней.
Внезапно, все снова сводится к тому, что юзер дал руками разрешение, да?)
На самом деле, не совсем:
сервис мониторит запущенные приложения,getRunningAppProcesses() отвалился в 5.0, доступ к /proc в 7.0. Нужно просить BIND_ACCESSIBILITY_SERVICE. Просить надо в манифесте, Google такое палит и жестко проверяет. Поэтому зловред из поста как раз таки убеждает юзера УСТАНОВИТЬ другое APK. Причем еще и фильтрует по версии ОС.
Если вы не в теме, то и писать не нужноЗвучит иронично, да?)
Что мешает скомпилить под 5.0 и эти пермишены не нужны будут?
Хотя нет, это для 6ого работало, но влюбом случае, есть UseStatsManager, там можно примерно понять, что открывает, да пермишен нужен, но когда сканер устанавливается, для камеры тоже пермишен нужен, их можно листом и пульнуть, уверен в 90% случаях их дадут. Систем Алерт тоже не нужен, хотя с ним и проще, открываешь активити со стилистикой банковского приложения раз в полчаса с просьбой авторизоваться, уверяю тебя много кто сделает и введёт данные.
Можно нотификацию повесить, интентом чтоб открывало банковское приложение, а через 10 секунд кидался ещё интент на фейковую активити. Разных способов много можно придумать, люди которые этим занимаются тоже не дураки сидят, плюс ещё и психологи.
Play Store. Сейчас API 29 должно быть в таргете.
Причём на сколько я знаю, эту настройку не просто найти т.е. нажать на неё случайно - задача не из тривиальных, почти всегда такой человек понимает, к чему даёт доступ