Aplicación falsa de seguimiento de Coronavirus que explota nuestro miedo y situación social vulnerable


Tiempo estimado de lectura: 4 4 minutos

A medida que el coronavirus se propaga a través de los países, creando temor en todo el mundo, todos quieren estar al tanto de cualquier información relacionada con el deseo de permanecer a salvo y lejos de las personas infectadas. Los autores de malware también se están aprovechando de esta situación. Anteriormente en Android Tienda de juegos, había muchas aplicaciones presente que afirmó que podían proporcionar información de seguimiento de Coronavirus. Pero Google ha establecido algunas reglas para este tipo de aplicaciones y las ha considerado en la categoría "Eventos sensibles". Según las políticas de esta regla, Google eliminó de forma proactiva muchas aplicaciones de Tienda de juegos para detener a los autores de malware para aprovechar esta situación.

Pero los autores de malware han usado otra forma de contraer El teléfono del usuario. Están usando sus sitios para publicar malicioso aplicaciones desarrolladas por los mismos hackers. Hay un sitio web llamado ‘coronavirusapp(.) sitio ": en este sitio web, se aloja una aplicación de Android que afirma obtener información en tiempo real sobre pacientes con Coronavirus. La aplicación afirma que notificará al usuario si hay un paciente con Coronavirus cerca.

Figura 1 Instantánea del sitio

Pero en la realidad, esta la aplicación es Secuestro de datos yot cerraduras el del usuario androide dispositivo y pide una rescate.

Análisis técnico de la aplicación:

Después del lanzamiento, esta aplicación pide ignorar la optimización de la batería para que pueda ejecutarse en segundo plano.

Figura 2 Pedir optimización de batería

Después de obtener este permiso, comienza su actividad maliciosa donde solicita permiso de accesibilidad: se introdujo la accesibilidad en Android para ayudar a los usuarios con discapacidad física. El servicio de accesibilidad tiene acceso a información confidencial, como la información sobre la ejecución de aplicaciones en el teléfono. Los atacantes pueden hacer mal uso de estos datos. El siguiente paso de la aplicación es solicitar el permiso de administrador del dispositivo. La aplicación habilitada por el administrador del dispositivo puede aplicar políticas de seguridad, siendo las políticas de contraseña una de ellas. Los autores de malware pueden usar este permiso para tomar el control del dispositivo.

Fig. 3 Ocupaciones pidiendo permiso de administrador del dispositivo y accesibilidad

Después de otorgar permisos, cuando el usuario hace clic en "área de exploración para coronavirus", la aplicación recurre al método onhideapp () que marca más todos los permisos requeridos. Si el usuario otorga todos los permisos, oculta su icono del cajón de la aplicación.

Fig. 4 Código para esconder el icono de la aplicación

Cómo hace este malware bloquear el teléfono?

Fig. 5 – PAGafilar el flujo de bloqueo

A continuación se detallan los eventos que ocurren para bloquear el dispositivo del Usuario:

A) Debido al permiso de accesibilidad, el malware puede obtener todos los eventos de accesibilidad. En el fragmento de código anterior (bloque 1) podemos ver que verifica el tipo de eventos de accesibilidad. Si este tipo es TYPE_WINDOW_CONTENT_CHANGED (Valor constante: 2048) o TYPE_WINDOW_STATE_CHANGED (Valor constante: 32), llama al método Onblocker ().

B) En este método crea un nuevo subproceso (bloque de fragmento de código 2) en el que llama al método startblockedactivity (), que inicia BlockedAppactivity. Antes de llamar a esto, verifica varias condiciones como, por ejemplo, si la aplicación está oculta del cajón de la aplicación (fragmento de código 3).

C) Entonces se inicia BlockedAppactivity. En oncreate, establece la vista de contenido en la aplicación bloqueada, que es la nota de ransomware (bloque de fragmento de código 4).

Por lo tanto, cada vez que el usuario intenta abrir una aplicación, esta actividad se abre y no le permite usar la aplicación deseada.

A continuación se muestra una instantánea de la actividad de las notas de ransomware. donde el autor del malware pide 250 $ de rescate. Hay otra variante de la aplicación en la que el monto del rescate es de 100 $. Hay un botón "Diseño web". : Cuando un usuario hace clic en este botón, lo redirige a la página de Pastebin donde el autor de malware ha dado instrucciones para desbloquear el teléfono.

Higo. 6 6 una variante del rastreador de coronavirus Secuestro de datos con 250 $ nota de rescate

Fig. 7 – Una variante del ransomware rastreador de coronavirus con una nota de rescate de $ 100

El autor de malware ha escrito un código de verificación de pin en la misma actividad. los Bloqueado tiene una función llamada verificarPin() que comprueba el código de entrada a la clave codificada "4865083501". Al ingresar esta clave, el usuario puede desbloquear su teléfono.

Fig. 8 Código de verificación pin

Hay muchos sitios que ofrecen mapas de seguimiento de Coronavirus e información relacionada con Coronavirus, muchos de estos sitios solicitan a los usuarios que instalen aplicaciones de Android para obtener más información. Hemos analizado uno de los sitios que dice dar buena información, pero en realidad es una aplicación de ransomware. Los usuarios no deben ser víctimas de este tipo de aplicaciones y sitios. Si desean información para su seguridad, pueden visitar al funcionario OMS sitio web.

Nombre de la aplicación :

Rastreador de coronavirus

Detección:

Quick Heal Mobile Security detecta estas aplicaciones bajo detección Android.Locker.O

COI:

69a6b43b5f63030938c578eec05993eb

D1d417235616e4a05096319bb4875f57

Cómo mantenerse a salvo

1. Verifique la descripción de una aplicación antes de descargarla.

2. Verifique el nombre del desarrollador de la aplicación y su sitio web. Si el nombre suena extraño o extraño, tiene todos los motivos para sospecharlo.

3. Revisa las reseñas y calificaciones de la aplicación. Pero, tenga en cuenta que estos también pueden ser falsificados.

4. Evite descargar aplicaciones de tiendas de aplicaciones de terceros.

5. Utilice un antivirus móvil confiable (como Quick Heal Total Security), que puede evitar que se instalen aplicaciones falsas y maliciosas en su teléfono.

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia original