Panuje głębokie przekonanie, że mail jest głównym wektorem ataku dla wirusów komputerowych. I pewnie ciągle tak jest… niemniej przestępcy wymyślają coraz to nowe lub odgrzewają stare sposoby i triki. Niedawno pisaliśmy o atakach za pomocą kodów QR. A dzisiaj napiszemy o pobraniach aplikacji z legalnych sklepów. Wydawać by się mogło czynności niegrożącej „infekcją”.
A jednak! Avast w tym tygodniu zidentyfikował 21 złośliwych aplikacji, które pomimo wszelkich starań Google, aby chronić użytkowników Androida, przedostały się do Google Play. Aplikacje te, przeznaczone dla graczy, zawierają oprogramowanie reklamowe należące do rodziny „HiddenAds”. Wydaje się, że szkodliwe aplikacje zostały pobrane około 8 milionów razy, zanim zostały wykryte. Avast wyjaśnia, że szkodliwe oprogramowanie „HiddenAds” udaje zabawne lub przydatne aplikacje, ale w rzeczywistości dostarcza natrętne reklamy poza aplikacją. Często złośliwe oprogramowanie utrudniało wykrycie, ukrywając się za odpowiednio wyglądającymi reklamami i próbowało zapobiec usunięciu, ukrywając ikony.
„Twórcy oprogramowania reklamowego coraz częściej korzystają z kanałów mediów społecznościowych, tak jak robiliby to zwykli marketerzy. Tym razem użytkownicy zgłaszali, że byli kierowani reklamami promującymi gry w YouTube. We wrześniu widzieliśmy, jak oprogramowanie reklamowe rozprzestrzenia się za pośrednictwem TikTok. Popularność tych sieci społecznościowych sprawia, że są one atrakcyjną platformą reklamową, również dla cyberprzestępców, skierowaną do młodszych odbiorców” – zauważa Jakub Vávra, analityk zagrożeń w firmie Avast, którego cytuje Securityweek.
Nie jest to ani pierwszy ani nawet dwudziesty pierwszy tego typu przypadek. W połowie bieżącego roku nieszkodliwie wyglądająca aplikacja do przeliczania walut (pobrana została przez ponad 10 000 użytkowników z Google Play) została zaprojektowana w celu dostarczenia trojana bankowego Cerberus.
Cerberus, Malware-as-a-Service (Maas), jest znany ze swoich funkcji trojana zdalnego dostępu mobilnego (mRAT), a także funkcji, dzięki której rejestruje naciśnięcia klawiszy i kradnie dane uwierzytelniające, informacje z Google Authenticator i wiadomości SMS.
W ramach tego ataku złośliwe oprogramowanie zostało „przebrane” za przelicznik walut dla użytkowników Androida w Hiszpanii i udało mu się pozostać niewykrytym, przez tygodnie po przesłaniu do Google Play. W ten sposób udało mu się zebrać ponad 10 000 pobrań przed rozpoczęciem złośliwej procedury zbierania danych bankowych użytkowników. Aplikacja nazywała się Calculadora de Moneda.
Na późniejszym etapie aplikacja otrzymywała aktualizacje, które zawierały kod droppera, ale serwer dowodzenia i kontroli (C&C) zaczął wydawać polecenia dopiero po dłuższej chwili, aby uniknąć podejrzeń ze strony użytkowników. Po miesiącach łagodnych operacji aplikacja otrzymała polecenie z centrum kontroli (serwer C2), w którym wykonała pobranie trojana bankowego Cerberus, którego zadaniem jest monitorowanie aktywności użytkowników i wyświetlanie fałszywych stron logowania w aplikacjach bankowych używanych na telefonie ofiary.
W ten sposób trojan kradnie dane logowania użytkownika, a dzięki swojej zdolności do odczytywania wiadomości tekstowych i szczegółów uwierzytelniania dwuskładnikowego może również być w stanie ominąć środki bezpieczeństwa i złamać zabezpieczenia konta bankowego. Według firmy Avast, serwer C&C aktywnie dostarczał złośliwy ładunek przez krótki czas, po czym serwer zniknął, a „aplikacja do przeliczania walut w Google Play nie zawierała już szkodliwego oprogramowania trojańskiego”, co jest powszechną taktyką wśród cyberprzestępców chcących uniknąć wykrycie.
Na co w takim razie powinniśmy uważać?
Należy zawsze dokładnie sprawdzać wszystkie aplikacje, które chcemy pobrać i zainstalować na swoich urządzeniach, nawet te wymienione w Google Play.
Tak jak „HiddenAds” zdołało ominąć zabezpieczenia Google i dostać się do sklepu z aplikacjami mobilnymi, inne rodziny złośliwego oprogramowania również to zrobiły i mogą nadal to robić. Sprawdzanie recenzji, cen i ocen aplikacji w sklepie i zwracanie uwagi na wymagane uprawnienia powinno pomóc użytkownikom zidentyfikować podejrzane aplikacje.
Avast radzi również użytkownikom, aby nauczyli się identyfikować oszustów w obszarach, które najczęściej odwiedzają, takich jak internetowe platformy społecznościowe, YouTube i tym podobne. Stosowanie reguł, zgodnie z którymi dzieci potrzebują zgody osoby dorosłej przed pobraniem aplikacji, powinno również powstrzymać oszustów i ich złośliwe oprogramowanie.
Ponadto Użytkownikom zaleca się, aby zawsze korzystali ze zweryfikowanej aplikacji bankowej, stosowali uwierzytelnianie dwuskładnikowe, polegali wyłącznie na zaufanych sklepach z aplikacjami.