W ostatnich latach firma Google podjęła wiele działań, aby poprawić bezpieczeństwo swojego sklepu z aplikacjami Google Play. Jednak wielu spośród przeszło 2,5 miliarda użytkowników wciąż przypadkowo pobiera ze sklepu tysiące złośliwych aplikacji, które naruszają ich dane, w tym wiadomości SMS, dane uwierzytelniające czy wiadomości e-mail. Firma Check Point odkryła ostatnio kolejną kampanię, która rozpowszechniała malware Haken na urządzeniach z programem Android.
W 2019 roku zainfekowane oprogramowanie reklamowe „SimBad” znaleziono ponad 200 aplikacjach w sklepie Google Play, a łączna liczba pobrań wyniosła wówczas 150 milionów. Jak szacują eksperci od 2017 roku pobrano z Google Play ponad 5,2 miliona instalacji szkodliwych aplikacji, zawierających różnego rodzaju złośliwe oprogramowanie. Zawarty w aplikacjach malware może mieć szereg możliwości: od kradzieży wszystkich informacji z urządzenia, do przejęcia urządzenia przez wyskakujące reklamy lub nakładanie okien będące formą ataku phishingowego. Aplikacje używają również różnych technik, aby uniknąć wykrycia przez zespoły bezpieczeństwa, m.in. przez zaciemnianie kodu.
Analitycy firmy Check Point zaobserwowali ostatnio kolejny atak na użytkowników. Hakerskie oprogramowanie Haken zainstalowane zostało na ponad 50 000 urządzeń z Androidem przez osiem różnych złośliwych aplikacji, z których wszystkie wyglądały na bezpieczne. Aplikacje to głównie narzędzia do obsługi aparatu czy gry dla dzieci. Tego typu malware jest klasyfikowany jako „clicker” ze względu na jego zdolność do przejęcia kontroli nad urządzeniem użytkownika i klikania na wszystko, co może pojawić się na ekranie urządzenia. Niepokojącym jest fakt, iż tego rodzaju oprogramowanie może uzyskiwać dostęp do dowolnego rodzaju danych!
Podczas monitorowania zwiększonej aktywności BearClod, firmie Check Point udało się znaleźć inną rodzinę tzw. „clickerów” – Haken. Kampania właśnie rozpoczęła swoją „karierę” w Google Play. Dzięki 8 złośliwym aplikacjom i ponad 50 000 pobrań, „pilot” kampanii miał na celu przechwycenie jak największej liczby urządzeń w celu wygenerowania nielegalnego zysku. Zarówno rodziny pilotów BearCloud, jak i Haken stosują różne podejścia do implementacji funkcji klikania. Podczas gdy BearClod wykorzystuje tworzenie widoku sieci i ładowanie złośliwego kodu JavaScript, który wykonuje klikanie, moduł klikania Haken wykorzystuje natywny kod… Korzystając z kodu natywnego i jego iniekcji do zestawów Ad-SDK i aplikacji z oficjalnego sklepu, Haken pokazał możliwości „clickerów”, pozostając poza kontrolą Google Play. Mimo stosunkowo niskiej liczby pobrań ponad 50 000, ta kampania wykazała zdolność szkodliwych podmiotów do generowania przychodów z fałszywych kampanii reklamowych i nie tylko…
Jakie stwarza zagrożenie dla użytkownika?
- Może zapisać się do usług subskrypcji premium bez wiedzy użytkownika, nielegalnie zarabiając dla jego twórców.
- Może wykraść poufne dane z urządzenia użytkownika.
Dobra wiadomość jest taka, że te nieuczciwe aplikacje zostały już usunięte z Google Play. Przykład ten pokazuje, że pomimo wysiłków Google Play i chęci zabezpieczenia przed złośliwymi aplikacjami, całkowite wyeliminowanie ryzyka jest mało realne – w sklepie dostępnych jest obecnie 3 miliony aplikacji, a setki nowych aplikacji są przesyłane codziennie, co utrudnia sprawdzenie, czy każda aplikacja jest bezpieczna. Rozwiązania bezpieczeństwa muszą naprawdę rozumieć złośliwe zachowanie, co oznacza, że powinny wykorzystywać wiele zaawansowanych technik, które wykraczają poza zwykłe sygnatury oraz pamięć maszynową opartą o wskaźniki statyczne.
https://itreseller.com.pl/itrnewamerykanska-federalna-komisja-handlu-przyjrzy-sie-najwiekszym-firmom-w-branzy-pod-katem-dzialan-monopolistycznych-na-celowniku-m-in-google-amazon-apple-i-facebook/
