Aplicación falsa de seguimiento de Coronavirus que explota nuestro miedo y situación social vulnerable


Tiempo estimado de lectura: 4 4 minutos

A medida que el coronavirus se propaga a través de los países, creando temor en todo el mundo, todos quieren estar al tanto de cualquier información relacionada con el deseo de permanecer a salvo y lejos de las personas infectadas. Los autores de malware también se están aprovechando de esta situación. Anteriormente en el Android Playstore, había muchas aplicaciones presentes que afirmaban que podían proporcionar información de seguimiento de Coronavirus. Pero Google ha establecido algunas reglas para este tipo de aplicaciones y las ha considerado en la categoría "Eventos sensibles". De acuerdo con las políticas de esta regla, Google eliminó de forma proactiva muchas aplicaciones de Playstore para evitar que los autores de malware aprovechen esta situación.

Pero los autores de malware han utilizado otra forma de ingresar al teléfono del usuario. Están utilizando sus sitios para publicar aplicaciones maliciosas desarrolladas por los propios hackers. Hay un sitio web llamado "sitio coronavirusapp (.)". En este sitio web, se aloja una aplicación para Android que afirma obtener información en tiempo real sobre pacientes con Coronavirus. La aplicación afirma que notificará al usuario si hay un paciente con Coronavirus cerca.

Figura 1 Instantánea del sitio

Pero en la realidad, esta la aplicación es Secuestro de datos yot cerraduras el del usuario androide dispositivo y pide un rescate.

Análisis técnico del Aplicación:

Después lanzamiento, Esta aplicaciónlication pide ignorar la optimización de la batería para que pueda ejecutarse en el antecedentes.

Figura 2 Pedir optimización de batería

Después obtener este permiso es slo tartas malicioso actividad donde solicita permiso de accesibilidad unaccesibilidad fue introducido en Android a asistir a usuarios con discapacidad física. UNel servicio de accesibilidad tiene acceso a información confidencial tales como el información sobre correr aplicaciones en el telefono. Los atacantes pueden hacer mal uso de estos datos. El siguiente paso de la aplicación es a pedir para el administrador del dispositivo permiso. reevice administrador habilitado aplicación puede hacer cumplir la seguridad polhelados, las políticas de contraseña son una de ellos. Malware autors puede usar este permiso para tomar el control de el dispositivo.

Fig. 3 Ocupaciones pidiendo permiso de administrador del dispositivo y accesibilidad

Después conceder permisos, cuando el el usuario hace clic en área de exploración para coronavirus, el aplicación llamadas sobre la onhideapp() método que más marcas de verificación todos los permisos requeridos. Si todos los permisos son dado por el usuario, oculta su icono de el Cajón de aplicaciones.

Fig. 4 Código para esconder el icono de la aplicación

Cómo hace este malware bloquear el teléfono?

Fig. 5 – PAGafilar el flujo de bloqueo

A continuación se detallan los eventos que ocurren para bloquear el dispositivo del Usuario:

  • Debido al permiso de accesibilidad, el malware puede obtener todos los eventos de accesibilidad. En el fragmento de código anterior (bloque 1) podemos ver que verifica el tipo de evento de accesibilidad, si este tipo es TYPE_WINDOW_CONTENT_CHANGED (Valor constante: 2048) O TYPE_WINDOW_STATE_CHANGED (Valor constante: 32) invoca el método Onblocker().
  • En este método crea un nuevo hilo (fragmento de código 2) en el que llama al método startblockedactivity(), que comienza Bloqueado. Antes de llamar a esto, verifica varias condiciones como, por ejemplo, si la aplicación está oculta del cajón de aplicaciones (bloque de fragmento de código 3).
  • Entonces se inicia BlockedAppactivity. En oncreate, establece la vista de contenido en la aplicación bloqueada, que es la nota de ransomware (bloque de fragmento de código 4).

Por lo tanto, cada vez que el usuario intenta abrir una aplicación, esta actividad se abre y no le permite usar la aplicación deseada.

A continuación se muestra una instantánea de la actividad de las notas de ransomware. Donde el autor del malware pide 250 $ de rescate. Hay otra variante de la aplicación en la que el monto del rescate es de 100 $. Hay un botón "Diseño web". : Cuando un usuario hace clic en este botón, lo redirige a la página de Pastebin donde el autor de malware ha dado instrucciones para desbloquear el teléfono.

Higo. 6 6 un variante del rastreador de coronavirus Secuestro de datos con 250 $ nota de rescate

Fig. 7 – Una variante del ransomware rastreador de coronavirus con una nota de rescate de $ 100

El autor de malware ha escrito un código de verificación de pin en la misma actividad. BlockedAppactivity tiene una función llamada generatePin () que verifica el código de entrada a la clave codificada 4865083501. Al ingresar esta clave, el usuario puede desbloquear su teléfono.

Fig. 8 Código de verificación pin

Hay muchos sitios que ofrecen mapas de seguimiento de Coronavirus e información relacionada con Coronavirus, muchos de estos sitios solicitan a los usuarios que instalen aplicaciones de Android para obtener más información. Hemos analizado uno de los sitios que dice dar buena información, pero en realidad es una aplicación de ransomware. Los usuarios no deben ser víctimas de este tipo de aplicaciones y sitios. Si desean información para su seguridad, pueden visitar al funcionario QUIEN sitio web.

Nombre de la aplicación :

Rastreador de coronavirus

Detección:

Quick Heal Mobile Security detecta estas aplicaciones bajo detección Android.Locker.O

COI:

69a6b43b5f63030938c578eec05993eb

D1d417235616e4a05096319bb4875f57

Cómo mantenerse a salvo

1. Verifique la descripción de una aplicación antes de descargarla.

2. Verifique el nombre del desarrollador de la aplicación y su sitio web. Si el nombre suena extraño o extraño, tiene todos los motivos para sospecharlo.

3. Revisa las reseñas y calificaciones de la aplicación. Pero, tenga en cuenta que estos también pueden ser falsificados.

4. Evite descargar aplicaciones de tiendas de aplicaciones de terceros.

5. Utilice un antivirus móvil confiable (como Quick Heal Total Security), que puede evitar que se instalen aplicaciones falsas y maliciosas en su teléfono.

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia original