Két külön esetre derült fény ezen a héten amelyek kémszoftvereket telepítettek a felhasználók Android rendszerű telefonjára és Chrome alapú böngészőjébe. Nézzék át a telefonjaikat és böngészőiket a lehetséges rossz szándékú kiegészítők után kutatva, illetve használjanak friss vírusvédelmi megoldást.

Az Android appok

Az androidos esettel kapcsolatban a Doctor Web szakértői által felfedezett egy Android szoftvermodult, amiben kémprogram jellegű funkciók találhatók. Új Android kártevő, amely reklámszoftverként terjed és több alkalmazásban található, sok közülük korábban a Google Play áruházban volt elérhető és összesen több mint 400 millió alkalommal töltötték le. A Dr. Web biztonsági kutatói által talált kémprogram modul, amit 'SpinOk' néven azonosítottak, és figyelmeztettek arra, hogy képes személyes adatokat lopni a felhasználók eszközéről és továbbítani egy távoli szerverre. Az eszközön tárolt fájlokból információkat gyűjt, és képes azokat rosszindulatú szereplőkhöz továbbítani. Továbbá képes megszerezni és feltölteni a vágólap tartalmát egy távoli szerverre. Ez a szoftvermodul a Dr.Web besorolása szerint az Android.Spy.SpinOk kémszoftver, amelyet SpinOk modul néven terjesztik és építik be a akár védtelen alkalmazásokba egy marketing SDK-ként. A fejlesztők beépíthetik azt különböző alkalmazásokba és játékokba, ideértve azokat is, amelyek a Google Play áruházban elérhetőek. Több száz alkalmazás tartalmazta ezt a modult, köztük:

• Noizz – videószerkesztő zenei aláfestéssel (legalább 100 000 000 telepítés),
• Zapya – Fájlátvitel, megosztás (legalább 100 000 000 telepítés; a trójai modul a 6.3.3-as verziótól a 6.4-es verzióig volt jelen, és a jelenlegi 6.4.1-es verzióban már nincs jelen),
• Vfly – videószerkesztő és videókészítő (legalább 50 000 000 telepítés),
• MVBit – MV videóállapot készítő (legalább 50 000 000 telepítés),
• Biugo – videókészítő és szerkesztő (legalább 50 000 000 telepítés),
• Crazy Drop (legalább 10 000 000 telepítés),
• Cashzine – Pénzkereseti jutalom (legalább 10 000 000telepítés),
• Fizzo Novel – Offline olvasás (legalább 10 000 000 telepítés),
• CashEM – Jutalmak megszerzése (legalább 5 000 000 telepítés),
• Tick – Nézésért jutalom (legalább 5 000 000 telepítés).

A SpinOk modul első ránézésre olyan módon lett kialakítva, hogy fenntartsa a felhasználók érdeklődését az alkalmazásokban található mini játékok, feladatok és állítólagos nyeremények és jutalmak segítségével. Az inicializálás során ez a trójai SDK kapcsolódik egy vezérlő és irányító (C&C) szerverhez, amikor egy olyan kérést küld, amely tartalmazza az érintett eszközről származó sok technikai információt. Ide tartoznak a szenzorok adatai is, például giroszkóp, mágnesmérő stb., amelyeket arra lehet használni, hogy észleljék az emulátor környezetet, és a modul működését úgy alakítsák, hogy elkerüljék a biztonsági kutatók észlelését. Ugyanebből a célból figyelmen kívül hagyja az eszköz proxy beállításait, amely lehetővé teszi a hálózati kapcsolatok elrejtését az elemzés során. Válaszként a modul egy URL-címlistát kap a szerverről, amelyet WebView segítségével megnyit, hogy megjelenítse a reklám bannerjeit.

Ugyanakkor ez a trójai SDK bővíti a betöltött weboldalakon futtatott JavaScript kód képességeit, beleértve az alábbiakat:

• Fájlok listájának lekérése meghatározott könyvtárakban,
• Meghatározott fájl vagy könyvtár jelenlétének ellenőrzése az eszközön,
• Fájl letöltése az eszközről, és
• Vágólap tartalmának másolása vagy helyettesítése.

Ez lehetővé teszi a trójai modul üzemeltetőinek, hogy bizalmas információkat és fájlokat szerezzenek meg a felhasználó eszközéről – például olyan fájlokat, amelyekhez az Android.Spy.SpinOk-t tartalmazó alkalmazások hozzáférhetnek. Ehhez a támadóknak meg kell adniuk a megfelelő kódot a hirdetési banner HTML oldalába.

A Doctor Web szakértői megtalálták ezt a trójai modult és több módosítását is számos alkalmazásban, amelyeket a Google Play áruházon keresztül terjesztenek. Néhányukban ma is megtalálható a rosszindulatú SDK, mások csak bizonyos verziókban tartalmazták, vagy teljesen eltávolították őket a katalógusból. A malware elemzőink 101 alkalmazásban találták meg, amelyek legalább 421 290 300 összesített letöltéssel rendelkeznek. Így a több száz millió Android eszköztulajdonos veszélyeztetve van a kibertámadás áldozatává válás tekintetében. A Doctor Web értesítette a Google-t az felfedezett fenyegetésről.

A Chrome bővítmény

Google eltávolította a Chrome Web Áruházból azokat a kártékony bővítményeket, amelyek összesen 75 millió letöltéssel rendelkeznek és módosíthatták a keresési eredményeket és spam vagy nemkívánatos hirdetéseket jeleníthettek meg. A bővítmények eredeti és hasznosnak tűnő funkcionalitása alapján a felhasználókat megtéveszti, hogy ne legyen gyanús a háttérben végzett kártékony viselkedés, amely rejtett kóddal szállítottak ezek a bővítmények.

Az Adblock Plus ról ismerhető kiberbiztonsági kutató, Wladimir Palant, elemzést végzett a PDF Toolbox nevű bővítményen (amely 2 millió letöltéssel rendelkezik), amely a Chrome Web Áruházból volt elérhető, és megállapította, hogy az tartalmaz olyan kódot, amelyet egy legitim bővítmény API segítő függvényeknek álcáztak.

Egy május közepén közzétett írásában a kutató elmagyarázza, hogy a kód lehetővé tette a „serasearchtop[.]com” domain számára, hogy tetszőleges JavaScript kódot injektáljon bármely weboldalba, amelyet a felhasználó meglátogatott.

A visszaélések fókusza az oldalakra reklámok beszúrásától a érzékeny információk eltulajdonításáig terjedhet. Azonban Palant nem észlelt semmilyen kártékony tevékenységet, így a kód célja nem volt egyértelmű.

A kutató azt is észrevette, hogy a kód 24 órával a bővítmény telepítése után aktiválódik, ami tipikusan kártékony szándékra utaló viselkedés.

Néhány nappal ezelőtt Palant közzétett egy második bejegyzést az ügyről, hogy figyelmeztesse a közvéleményt, miszerint ugyanezt a gyanús kódot találta meg további 34 Chrome bővítményben, amelyek összesen 55 millió letöltéssel rendelkeztek. Néhány példa:

• Autoskip for Youtube – 9 millió aktív felhasználó
• Soundboost – 6,9 millió aktív felhasználó
• Crystal Ad block – 6,8 millió aktív felhasználó
• Brisk VPN – 5,6 millió aktív felhasználó
• Clipboard Helper – 3,5 millió aktív felhasználó
• Maxi Refresher – 3,5 millió aktív felhasználó

Palant a második bejegyzés közzétételekor még mindig mindegyik bővítmény elérhető volt a Chrome Web Áruházban. Azonban egy további bejegyzésben jelezte, hogy 8 kivételével az összes, majd mára már az össze bővítmény el lett távolítva.

Általában a Google nem értesíti a felhasználókat, ha felfedezi, hogy egyik kártékony alkalmazását telepítették. Az alábbiakban felsorolunk néhány azonosítót, amelyek segítségével a felhasználók ellenőrizhetik, hogy fertőzött-e az eszközük.

1. Kétes eredetű bővítmények: Ellenőrizze a böngészőjében vagy alkalmazásainál a telepített bővítmények listáját. Ha talál olyan bővítményeket, amelyeket nem emlékszik telepíteni, vagy amelyek gyanúsak vagy ismeretlen fejlesztőktől származnak, akkor lehet, hogy fertőzött a rendszer.
2. Változott keresési eredmények: Ha a keresési eredményekben megjelennek irreleváns vagy gyanús linkek, vagy ha gyakran átirányításokat tapasztal a keresés során, ez jelezheti, hogy egy kártékony bővítmény befolyásolja a keresési eredményeket.
3. Fura hirdetések vagy pop-up ablakok: Ha gyakran megjelennek nemkívánatos hirdetések vagy felugró ablakok a böngészés közben, akkor valószínűleg fertőzött bővítmények vannak jelen a rendszerben.
4. Teljesítményproblémák: Ha az eszköz lassabbá vált, rendszeresen összeomlik, vagy nem várt módon viselkedik, ez lehet a kártékony bővítmények jelenlétének következménye.
5. Biztonsági beállítások megváltozása: Ellenőrizze a böngésző biztonsági beállításait és a letiltott oldalak listáját. Ha észrevesz változásokat vagy ismeretlen oldalakat a tiltólistán, az utalhat fertőzésre.

Fontos azonban megjegyezni, hogy ezek csak általános jelzők, és nem garantálják a fertőzöttség pontos azonosítását. Ha gyanítja, hogy a rendszerét kártékony bővítmények fertőzték meg, érdemes megbízható vírusirtó szoftvert használni, és egy szakértő segítségét kérni a probléma megoldásához.

Az Android-on futó kártevők

A Dr.Web által talált teljes lista itt található.

A CloudSEK talált alkalmazások:

• com.hexagon.blocks.colorful.resixlink
• com.macaronmatch.fun.gp
• com.macaron.boommatch.gp
• com.blast.game.candy.candyblast
• com.tilermaster.gp
• com.crazymagicball.gp
• com.cq.merger.ww.bitmerger
• com.happy2048.mergeblock
• com.carnival.slot.treasure.slotparty
• com.holiday2048.gp
• com.richfive.money.sea
• com.hotbuku.hotbuku
• com.crazyfruitcrush.gp
• com.twpgame.funblockpuzzle
• com.sncgame.pixelbattle
• com.cute.macaron.gp
• com.slots.lucky.win
• com.happy.aquarium.game
• com.blackjack.cash.poker
• vip.minigame.idledino
• com.circus.coinpusher.free
• com.diamond.block.gp
• com.boommatch.hex.gp
• com.guaniu.deserttree
• com.snailbig.gstarw
• com.tunai.instan.game
• com.yqwl.sea.purecash
• com.block.bang.blockbigbang
• com.chainblock.merge2048.gp
• com.snailbig.gstarfeelw
• com.ccxgame.farmblast
• com.bubble.connect.bitconnect
• com.acemegame.luckyslot
• com.tianheruichuang.channel3
• com.kitty.blast.lucky.pet.game
• com.magicballs.games
• com.bird.merge.bdrop
• com.acemegame.luckycashman
• free.vpn.nicevpn
• com.vegas.cash.casino
• com.meta.chip.metachip
• com.guaniu.lightningslots
• vip.minigame.RollingBubblePuzzle

A Chrome (vagy kompatibilis) böngészőkben futó bővítmény-kártevők

A Wladimir Palant által összeállított lista:

A bővítmény neve	Heti aktív felhasználók száma	Bővítmény azonosító (ID)
Autoskip for Youtube	9 008 298	lgjdgmdbfhobkdbcjnpnlmhnplnidkkp
Soundboost	6 925 522	chmfnmjfghjpdamlofhlonnnnokkpbao
Crystal Ad block	6 869 278	lklmhefoneonjalpjcnhaidnodopinib
Brisk VPN	5 595 420	ciifcakemmcbbdpmljdohdmbodagmela
Clipboard Helper	3 499 233	meljmedplehjlnnaempfdoecookjenph
Maxi Refresher	3 483 639	lipmdblppejomolopniipdjlpfjcojob
Quick Translation	2 797 773	lmcboojgmmaafdmgacncdpjnpnnhpmei
Easyview Reader view	2 786 137	icnekagcncdgpdnpoecofjinkplbnocm
PDF toolbox	2 782 790	bahogceckgcanpcoabcdgmoidngedmfo
Epsilon Ad blocker	2 571 050	bkpdalonclochcahhipekbnedhklcdnp
Craft Cursors	2 437 224	magnkhldhhgdlhikeighmhlhonpmlolk
Alpha Blocker ad blocker	2 430 636	edadmcnnkkkgmofibeehgaffppadbnbi
Zoom Plus	2 370 645	ajneghihjbebmnljfhlpdmjjpifeaokc
Base Image Downloader	2 366 136	nadenkhojomjfdcppbhhncbfakfjiabp
Cliquish fun cursors	2 353 436	pbdpfhmbdldfoioggnphkiocpidecmbp
Cursor-A custom cursor	2 237 147	hdgdghnfcappcodemanhafioghjhlbpb
Amazing Dark Mode	2 228 049	fbjfihoienmhbjflbobnmimfijpngkpa
Maximum Color Changer for Youtube	2 226 293	kjeffohcijbnlkgoaibmdcfconakaajm
Awesome Auto Refresh	2 222 284	djmpbcihmblfdlkcfncodakgopmpgpgh
Venus Adblock	1 973 783	obeokabcpoilgegepbhlcleanmpgkhcp
Adblock Dragon	1 967 202	mcmdolplhpeopapnlpbjceoofpgmkahc
Readl Reader mode	1 852 707	dppnhoaonckcimpejpjodcdoenfjleme
Volume Frenzy	1 626 760	idgncaddojiejegdmkofblgplkgmeipk
Image download center	1 493 741	deebfeldnfhemlnidojiiidadkgnglpi
Font Customizer	1 471 726	gfbgiekofllpkpaoadjhbbfnljbcimoh
Easy Undo Closed Tabs	1 460 691	pbebadpeajadcmaoofljnnfgofehnpeo
Screens screen recorder	1 459 488	flmihfcdcgigpfcfjpdcniidbfnffdcf
OneCleaner	1 457 548	pinnfpbpjancnbidnnhpemakncopaega
Repeat button	1 456 013	iicpikopjmmincpjkckdngpkmlcchold
Leap Video Downloader	1 454 917	bjlcpoknpgaoaollojjdnbdojdclidkh
Tap Image Downloader	1 451 822	okclicinnbnfkgchommiamjnkjcibfid
Qspeed Video Speed Controller	732 250	pcjmcnhpobkjnhajhhleejfmpeoahclc
HyperVolume	592 479	hinhmojdkodmficpockledafoeodokmc
Light picture-in-picture	172 931	gcnceeflimggoamelclcbhcdggcmnglm

Az Avast saját keresést hajtott végre a témában, és több olyan bővítményt talált, amelyeket Wladimir Palant nem vett észre. Az első körben, miért hagytak ki nyolc bővítményt? Az ok úgy tűnik, hogy ezek jelentősen különböznek az eredetiektől. Azok Manifest V3 bővítmény API-ra váltottak, ezért új módszereket kellett találniuk arra, hogy tetszőleges kódot futtassanak, amelyek elsőre még kevésbé láthatóak voltak. Érintett bővítmény azonosítók:

• aeclplbmglgjpfaikihdlkjhgegehbbf
• afffieldplmegknlfkicedfpbbdbpaef
• ajneghihjbebmnljfhlpdmjjpifeaokc
• ameggholdkgkdepolbiaekmhjiaiiccg
• bafbedjnnjkjjjelgblfbddajjgcpndi
• bahogceckgcanpcoabcdgmoidngedmfo
• bikjmmacnlceobeapchfnlcekincgkng
• bkbdedlenkomhjbfljaopfbmimhdgenl
• bkflddlohelgdmjoehphbkfallnbompm
• bkpdalonclochcahhipekbnedhklcdnp
• bppfigeglphkpioihhhpbpgcnnhpogki
• cajcbolfepkcgbgafllkjfnokncgibpd
• ciifcakemmcbbdpmljdohdmbodagmela
• deebfeldnfhemlnidojiiidadkgnglpi
• diapmighkmmnpmdkfnmlbpkjkealjojg
• dlnanhjfdjgnnmbajgikidobcbfpnblp
• dppnhoaonckcimpejpjodcdoenfjleme
• edadmcnnkkkgmofibeehgaffppadbnbi
• edaflgnfadlopeefcbdlcnjnfkefkhio
• edailiddamlkedgjaoialogpllocmgjg
• edmmaocllgjakiiilohibgicdjndkljp
• eibcbmdmfcgklpkghpkojpaedhloemhi
• enofnamganfiiidbpcmcihkihfmfpobo
• epmmfnfpkjjhgikijelhmomnbeneepbe
• fcndjoibnbpijadgnjjkfmmjbgjmbadk
• fejgiddmdpgdmhhdjbophmflidmdpgdi
• ffiddnnfloiehekhgfjpphceidalmmgd
• fgpeefdjgfeoioneknokbpficnpkddbl
• fhnlapempodiikihjeggpacnefpdemam
• finepngcchiffimedhcfmmlkgjmeokpp
• flmihfcdcgigpfcfjpdcniidbfnffdcf
• fpfmkkljdiofokoikgglafnfmmffmmhc
• gdlbpbalajnhpfklckhciopjlbbiepkn
• geokkpbkfpghbjdgbganjkgfhaafmhbo
• gfbgiekofllpkpaoadjhbbfnljbcimoh
• ghabgolckcdgbbffijkkpamcphkfihgm
• glfondjanahgpmkgjggafhdnbbcidhgf
• gliolnahchemnmdjengkkdhcpdfehkhi
• gnmjmennllheofmojjffnidneaohleln
• hdgdghnfcappcodemanhafioghjhlbpb
• hdifogmldkmbjgbgffmkphfhpdfhjgmh
• hhhbnnlkhiajhlfmedeifcniniopfaoo
• higffkkddppmfcpkcolamkhcknhfhdlo
• hmakjfeknhkfmlckieeepnnldblejdbd
• icnekagcncdgpdnpoecofjinkplbnocm
• iejlgecgghdfhnappmejmhkgkkakbefg
• igefbihdjhmkhnofbmnagllkafpaancf
• igfpifinmdgadnepcpbdddpndnlkdela
• iicpikopjmmincpjkckdngpkmlcchold
• imfnolmlkamfkegkhlpofldehcfghkhk
• jbolpidmijgjfkcpndcngibedciomlhd
• jjooglnnhopdfiiccjbkjdcpplgdkbmo
• jlhmhmjkoklbnjjocicepjjjpnnbhodj
• kafnldcilonjofafnggijbhknjhpffcd
• keecjmliebjajodgnbcegpmnalopnfcb
• kjeffohcijbnlkgoaibmdcfconakaajm
• lcdaafomaehnnhjgbgbdpgpagfcfgddg
• lgjdgmdbfhobkdbcjnpnlmhnplnidkkp
• lhpbjmgkppampoeecnlfibfgodkfmapd
• likbpmomddfoeelgcmmgilhmefinonpo
• lipmdblppejomolopniipdjlpfjcojob
• lklmhefoneonjalpjcnhaidnodopinib
• llcogfahhcbonemgkdjcjclaahplbldg
• lmcboojgmmaafdmgacncdpjnpnnhpmei
• lpejglcfpkpbjhmnnmpmmlpblkcmdgmi
• magnkhldhhgdlhikeighmhlhonpmlolk
• mcmdolplhpeopapnlpbjceoofpgmkahc
• meljmedplehjlnnaempfdoecookjenph
• nadenkhojomjfdcppbhhncbfakfjiabp
• nbocmbonjfbpnolapbknojklafhkmplk
• ngbglchnipjlikkfpfgickhnlpchdlco
• njglkaigokomacaljolalkopeonkpbik
• obeokabcpoilgegepbhlcleanmpgkhcp
• obfdmhekhgnjollgnhjhedapplpmbpka
• oejfpkocfgochpkljdlmcnibecancpnl
• okclicinnbnfkgchommiamjnkjcibfid
• olkcbimhgpenhcboejacjpmohcincfdb
• ooaehdahoiljphlijlaplnbeaeeimhbb
• pbdpfhmbdldfoioggnphkiocpidecmbp
• pbebadpeajadcmaoofljnnfgofehnpeo
• pidecdgcabcolloikegacdjejomeodji
• pinnfpbpjancnbidnnhpemakncopaega

 

Nézzék át a telefonjaikat és böngészőiket a lehetséges rossz szándékú kiegészítők után kutatva, illetve használjanak friss vírusvédelmi megoldást.