Google Chrome-varning utfärdades plötsligt till alla Android-användare

Google Chrome är den mest populära webbläsaren i världen. Därför, när en “mycket farlig” bedräglig uppdatering upptäcks som stjäl privata data, meddelanden och foton, är det en anledning till allvarlig oro.

Uppdatering 10 februari nedan, artikel publicerad ursprungligen 9 februari.

En alarmerande ny rapport från McAfee denna vecka varnar Android-användare att avstå från att klicka på meddelandelänkar som installerar Chrome-uppdateringar på sina enheter. MoqHao skadlig programvara gömmer sig inuti dessa nedladdningar med en otäck twist, som säkerhetsforskare beskriver som en “mycket farlig ny teknik.”

“Medan appen är installerad”, varnar forskarna, “startar dess skadliga aktivitet automatiskt. “Vi har rapporterat denna teknik till Google och de arbetar redan med att implementera begränsningar för att förhindra denna typ av autorun i en framtida version av Android.”

Denna skadliga kampanj distribuerar MoqHao malware via SMS, med en annan twist. Hotaktörer har börjat använda korta webbadresser från legitima tjänster, eftersom ”det är svårt att blockera den korta domänen eftersom det kan påverka alla webbadresser som används av den tjänsten. [But] “När en användare klickar på länken i meddelandet kommer URL-förkortningstjänsten att omdirigera dem till den verkliga skadliga webbplatsen.”

När den är installerad ber den bedrägliga Chrome-uppdateringen om omfattande användarbehörigheter, inklusive tillgång till SMS, foton, kontakter och till och med själva telefonen. Skadlig programvara är utformad för att köras i bakgrunden, ansluta till dess kommando- och kontrollserver, hantera data till och från enheten, eftersom mer och mer skada orsakas.

McAfee tillskriver denna MoqHao (XLoader)-kampanj till gruppen Roaming Mantis, en hotaktör som vanligtvis verkar i Asien. McAfee noterar dock att denna specifika kampanj också verkar rikta sig mot användare i Europa. Ett av de schemalagda språken i kampanjen är engelska, vilket innebär att även amerikanska användare finns inom räckhåll.

Om du tittar noga kan du se att meddelandena använder Unicode-tecken för att lura användare att tro att det är en legitim Chrome-uppdatering. “Den här tekniken gör att vissa tecken verkar fetstilta, men användarna känner igen dem visuellt som “Chrome”, säger McAfee och varnar också för att “detta kan påverka applikationsnamnbaserade upptäcktstekniker som jämför applikationens namn. applikationen (Chrome) och paketnamnet (com.android)..chrome).”

Vi är bara i februari och detta är den tredje Android-varningen om skadlig programvara som skapat rubriker hittills i år. Vi har sett VajraSpy, SpyLoan och Xamalicious. Vi har också sett en bredare varning om copycat-appar, vilket återspeglar vad vi ser här. När det gäller denna specifikt, varnar McAfee att “vi förväntar oss att den här nya varianten kommer att ha en stor inverkan eftersom den infekterar enheter helt enkelt genom att installera utan exekvering.”

“Copycat-appar är lätta att producera”, varnar ESET:s Jake Moore. “När du laddar ner och installerar en skadlig app på din telefon kan det leda till en rad katastrofer, inklusive stöld av personlig data, äventyrad bankinformation, dålig enhetsprestanda, påträngande adware och till och med spionprogram som övervakar dina konversationer och meddelanden.”

Som jag har sagt flera gånger i år, är timingen här potentiellt ännu mer anmärkningsvärd än skadlig programvara i sig. Europe’s Digital Markets Act gör betydande förändringar i de appar och plattformar vi använder oftast. Och det inkluderar appbutiker.

Apple öppnar motvilligt sin egen för första gången, men varnar för farorna för användarna med att göra det. “Dessa nya regler, samtidigt som de ger nya alternativ för utvecklare, medför också nya risker. Det finns ingen väg runt det”, varnade Apples Phil Schiller, och skadlig programvara toppar listan över dessa problem.

Apples öppenhet för berättelser från tredje part kommer direkt att kontrastera dess inställning till säkerhet med Googles, som alltid har varit mycket mindre låst, vilket främjar användarens val som en balans med säkerhet. Om Apple kan öppna appbutiksalternativ samtidigt som säkerheten bibehålls, kommer det att sätta ytterligare press på Android-skyddet.

MER FRÅN FORBESWhatsApp bekräftar plötsligt den största uppdateringen någonsin

Som svar på McAfee-rapporten berättade en talesperson för mig att “Android har skydd i flera lager som hjälper till att hålla användarna säkra” och, som noteras i McAfee-rapporten, att “Android-användare skyddas för närvarande mot detta av Google Play Protect, som är aktiverat som standard på Android-enheter med Google Play Services. Google Play Protect kan varna användare eller blockera appar som är kända för att uppvisa skadligt beteende, även när dessa appar kommer från externa källor till Play.”

Google bekräftade också att de hade arbetat med McAfee för att ta itu med detta nya skadliga hot, eftersom det är en av dess App Defense Alliance-partner.

Uppdatering 2/10:

Med tanke på den typ av allvarliga hot som lyfts fram av McAfees rapport, där användare laddar ner farliga appar och uppdateringar till sina enheter, är det ingen överraskning att Googles nyligen tillkännagivna pilot för att förhindra användare från att installera eller uppdatera farliga appar får mer och mer uppmärksamhet. (1,2).

I dess blogginlägg När Google tillkännagav flytten bekräftade Google att även om “att hålla användarna säkra i ett öppet ekosystem kräver sofistikerade försvar… visar våra data att ett oproportionerligt antal dåliga aktörer utnyttjar utvalda API:er och distributionskanaler i detta öppna ekosystem.”

Som sådan gäller Googles varning alla Android-användare som vill lämna Play Butik för att installera appar på sina enheter. Som Google förklarar, “Medan användare har flexibiliteten att ladda ner appar från många källor, kan säkerheten för en app variera beroende på nedladdningskällan.”

För att ge en uppfattning om problemets omfattning varnar Google för att Google Play Protect-appanalys “har identifierat 515 000 nya skadliga appar och utfärdat mer än 3,1 miljoner varningar eller blockeringar för dessa appar.” Köpare se upp.

Den nya piloten fokuserar på ekonomiskt bedrägeri och genomförs genom ett “strategiskt partnerskap” med Singapore Cyber ​​​​Security Agency (CSA).

“Cyberbrottslingar fortsätter att investera i avancerade ekonomiska bedrägerier, vilket kostar konsumenterna mer än 1 biljon dollar i förluster”, säger Google, vilket är anledningen till att de “automatiskt kommer att skanna och blockera installationen av appar som kan använda time-out-behörigheter.” känsliga avrättningar som är ofta missbrukas för ekonomiskt bedrägeri när användaren försöker installera applikationen från en internetnedladdningskälla (webbläsare, meddelandeprogram eller filhanterare).”

De högrisktillståndsbegäranden som Google har identifierat och kommer att blockeras, säger det, “används ofta av bedragare för att avlyssna engångslösenord via SMS eller aviseringar, samt för att spionera på skärminnehåll. “Baserat på vår analys av de främsta falska skadliga programfamiljerna som utnyttjar dessa känsliga runtime-behörigheter, fann vi att mer än 95 procent av installationerna kom från nedladdningskällor på internet.”

Detta är helt klart samma hotnivå som vi har sett i den självkörande MoqHao malware, som också försöker få behörigheter som gör att den kan spionera på användarinnehåll och använda enhetens SMS och andra anslutningsmöjligheter.

Under pilotprojektet förklarar Google, “när en användare i Singapore försöker installera en app från en internetnedladdningskälla och någon av dessa fyra behörigheter deklareras, kommer Play Protect automatiskt att blockera installationen med en förklaring till användaren.”

Som McAfee erkänner i sin egen rapport om MoqHoo, “är det svårt för allmänna användare att hitta falska appar som använder legitima appikoner och namn, så vi rekommenderar användare att installera säker programvara för att skydda sina enheter.”

Det är klart att McAfee och andra säkerhetsleverantörer vill att det ska vara deras egen programvara från tredje part, men verkligheten är att det måste vara själva ekosystemet som den första försvarslinjen. Det borde inte vara så lätt att attackera en användares enhet.

Men när din enhet är utanför Google Plays försvar bör du verkligen leta efter programvara från tredje part, från McAfee eller andra, för att vara säker.

MER FRÅN FORBESJa, Telegram är ett mycket allvarligt hot mot din telefon

Utöver mjukvaruförsvar behövs sunt förnuft och god praxis. Råd till användare är fortfarande mycket, mycket enkel. Klicka aldrig på länkar som de vi såg i den här senaste kampanjen, och definitivt Nej Installera appar direkt från länkar. Detta var avgörande för ESETs copycat-appvarning. Du bör heller aldrig acceptera tillståndsförfrågningar som inte är väsentliga för en apps specifika funktionalitet.

Det här är de gyllene reglerna för applikationer och uppdateringar:

  1. Håll dig till officiella appbutiker: Använd inte tredjepartsbutiker och ändra aldrig enhetens säkerhetsinställningar för att tillåta en app att laddas.
  2. Kontrollera utvecklaren i appbeskrivningen – är det någon du skulle vilja ha i ditt liv? Och kolla recensionerna, verkar de legitima eller kultiverade?
  3. Ge inte behörigheter till en app som du inte borde behöva: Ficklampor och appar för stjärnskådning behöver inte ha tillgång till dina kontakter eller telefon. Och ge aldrig åtkomstbehörigheter som gör det lättare att styra enheten om det inte är nödvändigt.
  4. Aldrig någonsin klicka på länkar i e-postmeddelanden eller meddelanden som direkt laddar ner applikationer eller uppdateringar; Använd alltid appbutiker för installationer och uppdateringar.
  5. Installera inte appar som länkar till etablerade appar som WhatsApp om du inte vet säkert att de är legitima; Kolla in recensioner och artiklar skrivna online.

Leave a Reply

Your email address will not be published. Required fields are marked *