Android trojanac Arsink: Lažne „Pro“ verzije omiljenih aplikacija kriju malver!
Bezbednosni istraživači upozoravaju na novu Android kampanju koja se širi planetom i ugrožava privatnost desetina hiljada korisnika. Malver nazvan Arsink detektovan je na uređajima u 143 zemlje i do sada je kompromitovao više od 45.000 telefona.
Pretnju su identifikovali istraživači iz zLabs tima kompanije Zimperium, koji navode da se radi o trojancu za daljinski pristup (RAT) sposobnom da se prikrije kao legitimna aplikacija. Upravo ta sposobnost maskiranja omogućila je Arsinku da ostane neprimećen kod velikog broja žrtava.
Lažne „Pro“ verzije kao glavni mamac
Napadači koriste poverenje korisnika u popularne brendove, predstavljajući zlonamerne aplikacije kao unapređene verzije poznatih servisa. Arsink imitira više od 50 aplikacija, uključujući WhatsApp, Instagram, YouTube i TikTok, nudeći navodno dodatne funkcije koje zvanične verzije nemaju.
Ovakav pristup pokazao se izuzetno efikasnim. Korisnici, privučeni obećanjima o dodatnim opcijama i uklonjenim ograničenjima, često zanemaruju bezbednosna upozorenja i bez razmišljanja odobravaju širok spektar dozvola tokom instalacije.
Distribucija van Google Play prodavnice
Za razliku od mnogih poznatih Android pretnji, Arsink se ne pojavljuje na Google Play prodavnici. Umesto toga, kampanja se oslanja na alternativne kanale distribucije koji su znatno teži za kontrolu i nadzor.
Linkovi ka zaraženim aplikacijama šire se putem Telegram i Discord kanala, ali i preko servisa za deljenje fajlova poput MediaFire-a. Ovakav način distribucije omogućava napadačima da brzo uklanjaju stare verzije i plasiraju nove varijante malvera.
Tehnička sofisticiranost i stalna evolucija
Analiza kampanje otkriva visok stepen tehničke prilagodljivosti. Istraživači su identifikovali čak 1.216 različitih varijanti Arsinka, što ukazuje na kontinuiran razvoj i prilagođavanje bezbednosnim merama.
Nakon instalacije, aplikacije se ponašaju kao prazne ljušture, mogu sakriti svoju ikonicu i neprimetno nastaviti sa radom u pozadini. Pojedine verzije sadrže dodatni skriveni payload koji omogućava aktivaciju malvera čak i bez aktivne internet konekcije.
Potpuna kontrola nad zaraženim uređajem
Jednom kada se aktivira, Arsink uspostavlja trajnu pozadinsku uslugu koja omogućava dugoročnu kontrolu nad uređajem. Malver može da snima zvuk putem mikrofona, pristupa fotografijama, čita SMS poruke, kao i da preuzima kontakte i istoriju poziva.
Napadači mogu u realnom vremenu slati komande, pratiti lokaciju korisnika, inicirati pozive ili čak pokrenuti potpuno brisanje podataka sa telefona. Prikupljene informacije se zatim prosleđuju putem Firebase baza, Telegram botova ili skrivenih foldera na Google Drive-u, što dodatno otežava njihovo otkrivanje.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
BONUS VIDEO:
Kinezi menjaju pravila igre