® MinOtaVr'S Blog!

Δύο κακόβουλες εφαρμογές που εντόπισε η Trend Micro στο Google Play -αφαιρέθηκαν άμεσα από την Google- έκαναν χρήση του αισθητήρα κίνησης του κινητού για να ενεργοποιηθούν, ώστε να σιγουρευτούν πως δεν γίνονταν αντικείμενο έρευνας σε κάποιον emulator.

Όταν "αισθάνονταν" πως ήταν εγκατεστημένες σε κανονική συσκευή, κατέβαζαν τοπικά το Anubis banking malware στις μολυσμένες συσκευές. Η μια εφαρμογή με όνομα BatterySaverMobi, είχε 5 χιλιάδες εγκαταστάσεις, ενώ η δεύτερη με όνομα Currency Converter, είχε άγνωστο αριθμό αφού κατέβηκε σχεδόν αμέσως από το Google Play Store.

Η χρήση του motion sensor δεν ήταν το μόνο κόλπο των κακόβλουλων εφαρμογών, αλλά αυτές επικοινωνούσαν με τον C&C server τους μέσω Twitter και Telegram requests και προσπαθούσαν να ξεγελάσουν τον χρήστη στο να κατεβάσει το malware, εμφανίζοντας ψευδή αναβάθμιση συστήματος.

Once Anubis was installed, it used a built-in keylogger that can steal users’ account credentials. The malware can also obtain credentials by taking screenshots of the infected users’ screen. Sun continued:

Our data shows that the latest version of Anubis has been distributed to 93 different countries and targets the users of 377 variations of financial apps to farm account details. We can also see that, if Anubis successfully runs, an attacker would gain access to contact lists as well as location. It would also have the ability to record audio, send SMS messages, make calls, and alter external storage. Anubis can use these permissions to send spam messages to contacts, call numbers from the device, and other malicious activities. Previous research from security company Quick Heal Technologies shows that versions of Anubis even function as a ransomware.

[via]