JAKARTA - Jutaan koleksi telah di download, 158 aplikasi Android palsu yang mengandung malware baru-baru ini ditemukan dan diselundupkan ke Google Play Store, menurut sebuah laporan penelitian terpisah yang diterbitkan dalam beberapa hari. Para peneliti di McAfee melakukan mendeteksi downloader Grobas, sebuah program yang mendorong aplikasi yang tidak diinginkan, di 144 aplikasi Trojanized. Sementara itu, analis di ESET mengidentifikasi delapan aplikasi yang dijuluki TrojanDropper.Agent.BKY, dan ahli di Malwarebytes menemukan enam aplikasi disabotase dengan nama Trojan.AsiaHitGroup, yang berisi adware tersembunyi dan upaya untuk men-download trojan SMS.

Dalam ketiga kasus, Google telah waspada terhadap APK merepotkan dan mereka segera dihapus. Namun, penemuan-penemuan terbaru menemukan lebih lanjut bahwa Google saja tidak mampu mencegah setiap pelaku berbahaya dari menyelinap malware ke toko perangkat lunak.

Grabos malware yang McAfee diidentifikasi ditemukan terutama di file explorer dan pemutar musik aplikasi, beberapa di antaranya open source. aktivitas berbahaya yang meliputi pengumpulan dan exfiltrating spesifikasi perangkat (misalnya informasi mengenai versi Android, Model dan kode negara), lokasi, dan konfigurasi. Hal ini juga muncul untuk memeriksa apakah aplikasi sosial dan Google tertentu diinstal dan melaporkan hasil temuannya ke server command-and-control.

McAfee percaya informasi tersebut membantu Grabos membuat pemberitahuan yang dirancang untuk mengelabui pengguna agar mengunduh dan menginstal software mobile tambahan.
"Grabos mendapatkan popularitas di Google Play karena memungkinkan pengguna untuk men-download musik gratis sambil terus meminta mereka untuk menilai aplikasi.
Namun, pengguna tidak menyadari fungsi tersembunyi yang datang dengan aplikasi tersebut, mengekspos mereka untuk pemberitahuan men-download dan menginstal aplikasi tambahan dan membukanya tanpa persetujuan mereka.

Grabos awalnya ditemukan di sebuah aplikasi bernama Aristoteles Musik pemutar audio 2017, yang dilaporkan download antara satu dan lima juta kali. McAfee juga menemukan sejarah download 34 aplikasi Grabos berbahaya lainnya, yang secara kolektif telah diunduh di suatu tempat antara 4,2 dan 17,4 juta kali.
Satu update aplikasi tanggal sejauh 6 April 2017, tapi sisanya terakhir diperbarui antara Juli dan Oktober. Daftar lengkap aplikasi Grabos tersedia dalam laporan posting blog McAfee.

TrojanDropper.Agent.BKY
Dalam posting blog , ESET melaporkan bahwa menemukan downloader TrojanDropper.Agent.BKY dalam enam aplikasi palsu disebut MEX Tools, jelas Android, Cleaner untuk Android, Berita, BERITA DUNIA, dan World News PRO, serta dua Rusia secara online slot aplikasi.
Menurut ESET, aplikasi berbahaya bersikap normal di permukaan, tetapi di belakang layar mereka mendekripsi dan mengeksekusi payload tahap pertama, yang pada gilirannya mengaktifkan muatan sekunder. malware tahap kedua ini kemudian download muatan tersier dari URL hardcoded, yang disamarkan agar terlihat seperti program normal seperti Adobe Flash Player atau update Android. (ESET telah belajar bahwa salah satu link URL berbahaya dikunjungi hampir 3.000 kali, dengan sebagian besar aktivitas yang berasal dari Belanda.)
Lima menit kemudian, pemilik perangkat menerima permintaan untuk mengunduh aplikasi tambahan. Setelah ini terjadi, aplikasi menjatuhkan payload final dan memperoleh izin yang diperlukan untuk itu untuk bekerja. TrojanDropper.Agent.BKY dikenal untuk menjatuhkan trojan perbankan, termasuk MazarBot , dan dalam beberapa kasus spyware, melaporkan ESET malware peneliti dan posting blog penulis Lukas Stefanko.

AsiaHitGroup
Malwarebytes menemukan sedikitnya enam aplikasi Android yang mengandung AsiaHitGroup, termasuk jam alarm aplikasi, scanner aplikasi QR, aplikasi kompas, editor aplikasi foto, aplikasi tes kecepatan internet, dan aplikasi file explorer. Semua dari mereka kemungkinan besar ditambahkan ke Google Play pada bulan Oktober dan November, menulis Nathan Collier, analis senior intelijen malware, dalam sebuah perusahaan posting blog .
Setelah menganalisis palsu aplikasi QR scanner, Malwarebytes menemukan bahwa malware menganalisa cek lokasi perangkat dengan sebuah website yang menyediakan layanan geo-IP untuk menentukan lokasi perangkat yang terinfeksi. Malware kemudian akan men-download Android / Trojan.SMS.AsiaHitGroup, sebuah trojan yang penyadapan pesan teks SMS.
AsiaHitGroup juga berisi lain tersembunyi APK, Android / Adware.AsiaHitGroup, yang dirancang untuk mendorong adware pada korban.