DAJ CYNK

Lepiej usuń to z telefonu. Robi przelewy na obce konta

Anna Rymsza

Bezpieczeństwo

Lepiej usuń to z telefonu. Robi przelewy na obce konta

W Google Play lądują tysiące aplikacji, których jedynym celem jest wyrządzanie szkód. Trojan SharkBot dosłownie wykrada pieniądze. Ale jak to w ogóle możliwe?

Google wyjawił, jakim cudem tyle szkodliwych aplikacji przechodzi obok zabezpieczeń w sklepie Google Play. Cyberprzestępcy wykorzystują technikę znaną jako wersjonowanie (versioning).

Nowa wersja aplikacji to nowe zagrożenie

Kampanie, które używają tego sposobu ukrywania się, często mają na celu wykradanie wrażliwych informacji, w tym danych finansowych, które pozwolą okradać użytkowników. Tę korelację specjaliści z Google Cybersecurity Action Team podkreślili w raporcie dotyczącym zagrożeń, wydanym w sierpniu 2023 roku.

Samo wersjonowanie nie jest nowym zjawiskiem i jest używane także w operacjach, które nie mają na celu okradania innych. W rękach cyberprzestępców to zabieg polegający na publikacji aplikacji w Google Play, gdzie bez problemu przechodzi ona wszystkie testy i kontrolę bezpieczeństwa, a następnie dodaniu do niej szkodliwego komponentu jako aktualizację. Malware jest dodawany do aplikacji jako dynamicznie ładowany kod, pochodzący z serwerów kontrolowanych przez cyberprzestępców.

W skrócie można powiedzieć, że w ten sposób aplikacja z Google Play zostaje zamieniona w backdoor. Google zaś nie ma jak sprawdzić, co aplikacja będzie ściągać i skąd, gdy będzie już zainstalowana na smartfonie użytkownika. Czarny scenariusz dopuszcza nawet, że cyberprzestępcy przejmą serwery niewinnych deweloperów i stamtąd załadują szpiegujące paskudztwo użytkownikom.

Na co uważać? Jak się bronić?

Szkodliwa aplikacja może się w ten sposób kamuflować miesiącami. Taki przykład w maju opisali specjaliści z firmy ESET. Aplikacja iRecorder, używana do podsłuchiwania użytkowników, przez prawie rok od premiery w Google Play zachowywała się jak najbardziej poprawnie. Tym sposobem zdobyła zaufanie użytkowników i kolekcję ocen, aż w końcu jej autorzy zrzucili bombę.

Kolejny przykład to SharkBot – malware udający aplikacje zabezpieczające. Jego twórcy umieszczali w Google Play różne aplikacje z tej kategorii, usypiali czujność wszystkich dookoła, aż w końcu… ładowali właściwego trojana bankowego na smartfony ofiar. Efekt? Pieniądze znikają z kont. Ponadto cyberprzestępcy mogą publikować takie aplikacje na różnych kontach, więc jeśli jedno „wpadnie”, zawsze mają plan „B” i „C” i kolejne. 

Najczęściej jednak autorzy aplikacji nie czekają. Do sklepu Play trafia aplikacja o ograniczonych funkcjach, a jej pełną wersję należy ściągnąć z zewnątrz – a przynajmniej tak mają myśleć użytkownicy. To rozwiązanie znane z większych gier (wynika z limitu rozmiaru aplikacji, jaki można było umieścić w Play), więc ludzie się szczególnie temu nie dziwią.

Poradzić sobie z tym można na urządzeniach zarządzanych centralnie, na przykład w firmach. Tam administratorzy mogą ograniczyć pochodzenie aplikacji i ich aktualizacji tylko do Google Play i serwerów firmowych. Na prywatnych urządzeniach pozostaje samodzielne pilnowanie aplikacji, co jest bardzo kłopotliwe. Niemniej pomoże wiedza, że aplikacja pobierająca coś spoza Google Play z automatu trafia na listę podejrzanych.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: własne

Źródło tekstu: Google Cybersecurity Action Team, Kerbs on Security, Threat Fabric