W Google Play lądują tysiące aplikacji, których jedynym celem jest wyrządzanie szkód. Trojan SharkBot dosłownie wykrada pieniądze. Ale jak to w ogóle możliwe?
Google wyjawił, jakim cudem tyle szkodliwych aplikacji przechodzi obok zabezpieczeń w sklepie Google Play. Cyberprzestępcy wykorzystują technikę znaną jako wersjonowanie (versioning).
Kampanie, które używają tego sposobu ukrywania się, często mają na celu wykradanie wrażliwych informacji, w tym danych finansowych, które pozwolą okradać użytkowników. Tę korelację specjaliści z Google Cybersecurity Action Team podkreślili w raporcie dotyczącym zagrożeń, wydanym w sierpniu 2023 roku.
Samo wersjonowanie nie jest nowym zjawiskiem i jest używane także w operacjach, które nie mają na celu okradania innych. W rękach cyberprzestępców to zabieg polegający na publikacji aplikacji w Google Play, gdzie bez problemu przechodzi ona wszystkie testy i kontrolę bezpieczeństwa, a następnie dodaniu do niej szkodliwego komponentu jako aktualizację. Malware jest dodawany do aplikacji jako dynamicznie ładowany kod, pochodzący z serwerów kontrolowanych przez cyberprzestępców.
W skrócie można powiedzieć, że w ten sposób aplikacja z Google Play zostaje zamieniona w backdoor. Google zaś nie ma jak sprawdzić, co aplikacja będzie ściągać i skąd, gdy będzie już zainstalowana na smartfonie użytkownika. Czarny scenariusz dopuszcza nawet, że cyberprzestępcy przejmą serwery niewinnych deweloperów i stamtąd załadują szpiegujące paskudztwo użytkownikom.
Szkodliwa aplikacja może się w ten sposób kamuflować miesiącami. Taki przykład w maju opisali specjaliści z firmy ESET. Aplikacja iRecorder, używana do podsłuchiwania użytkowników, przez prawie rok od premiery w Google Play zachowywała się jak najbardziej poprawnie. Tym sposobem zdobyła zaufanie użytkowników i kolekcję ocen, aż w końcu jej autorzy zrzucili bombę.
Kolejny przykład to SharkBot – malware udający aplikacje zabezpieczające. Jego twórcy umieszczali w Google Play różne aplikacje z tej kategorii, usypiali czujność wszystkich dookoła, aż w końcu… ładowali właściwego trojana bankowego na smartfony ofiar. Efekt? Pieniądze znikają z kont. Ponadto cyberprzestępcy mogą publikować takie aplikacje na różnych kontach, więc jeśli jedno „wpadnie”, zawsze mają plan „B” i „C” i kolejne.
Najczęściej jednak autorzy aplikacji nie czekają. Do sklepu Play trafia aplikacja o ograniczonych funkcjach, a jej pełną wersję należy ściągnąć z zewnątrz – a przynajmniej tak mają myśleć użytkownicy. To rozwiązanie znane z większych gier (wynika z limitu rozmiaru aplikacji, jaki można było umieścić w Play), więc ludzie się szczególnie temu nie dziwią.
Poradzić sobie z tym można na urządzeniach zarządzanych centralnie, na przykład w firmach. Tam administratorzy mogą ograniczyć pochodzenie aplikacji i ich aktualizacji tylko do Google Play i serwerów firmowych. Na prywatnych urządzeniach pozostaje samodzielne pilnowanie aplikacji, co jest bardzo kłopotliwe. Niemniej pomoże wiedza, że aplikacja pobierająca coś spoza Google Play z automatu trafia na listę podejrzanych.
Źródło zdjęć: własne
Źródło tekstu: Google Cybersecurity Action Team, Kerbs on Security, Threat Fabric
