Η εφαρμογή Calculadora de Moneda στο Google Play αποκρύπτει τον κακόβουλο Cerberus Trojan
Η Google έχει δεχθεί αρκετή κριτική για το ότι αφήνει υπερβολικά κακόβουλο λογισμικό στο Google Play και θα μπορούσατε να πείτε ότι υπάρχει ένας πολύ καλός λόγος για αυτό. Σε σύγκριση με την Apple, η Google έχει υιοθετήσει μια πολύ πιο φιλελεύθερη πολιτική όταν επιτρέπει να δημοσιεύονται εφαρμογές στο Play Store και η συχνότητα με την οποία το κακόβουλο λογισμικό ξεφεύγει από τις ρωγμές δείχνει ότι οι έλεγχοι δεν είναι αρκετά αυστηροί. Τούτου λεχθέντος, μερικές φορές, οι χάκερ είναι αποφασισμένοι να κρατήσουν μυστικό την κακόβουλη πρόθεσή τους. Χθες, για παράδειγμα, ερευνητές από το Avast μας είπαν για τα έξυπνα τεχνάσματα που έχουν χρησιμοποιήσει οι εγκληματίες στον κυβερνοχώρο για να κρύψουν μια πρόσφατη επίθεση εναντίον Ισπανών χρηστών.
Table of Contents
Οι χάκερ δημοσίευσαν έναν μετατροπέα νομισμάτων στο Google Play
Η λειτουργία ξεκίνησε τον Μάρτιο όταν οι χειριστές του Cerberus banking trojan δημοσίευσαν μια εφαρμογή στο επίσημο κατάστημα του Android. Η εφαρμογή ονομάστηκε "Calculadora de Moneda" (Ισπανικά για το "Currency Calculator") και οι hackers δεν είχαν απολύτως κανένα πρόβλημα να το εκτελέσουν μετά από ελέγχους ασφαλείας της Google.
Αυτό συμβαίνει επειδή δεν υπήρχε τίποτα κακόβουλο. Η αρχική έκδοση του Calculadora de Moneda ήταν τελείως καλοήθης, και λειτούργησε ακόμη και ως μετατροπέας νομισμάτων. Ο στόχος ήταν να κερδίσουμε την εμπιστοσύνη των χρηστών και να το κερδίσουμε. Σύμφωνα με τον Avast, πριν από μερικές ημέρες, η εφαρμογή μετατροπής νομισμάτων είχε περίπου 10 χιλιάδες λήψεις.
Το χρονοδιάγραμμα δεν είναι απολύτως σαφές, αλλά σε κάποιο σημείο μεταξύ Μαρτίου και Ιουλίου, ξεκίνησε το κακόβουλο στάδιο της επιχείρησης. Οι χάκερ προώθησαν μια ενημέρωση που περιείχε μερικές γραμμές κώδικα που αργότερα θα έκαναν λήψη και εγκατάσταση του Cerberus. Ωστόσο, δεν βιάστηκαν να το πυροδοτήσουν. Ο κωδικός παρέμεινε αδρανής και ενεργοποιήθηκε μόνο πριν από δύο ημέρες.
Οι απατεώνες χρησιμοποίησαν τον Τραπεζικό Τρατζάν Cerberus πριν από λίγες μέρες
Ο κακόβουλος κώδικας επικοινώνησε με τον διακομιστή εντολών και ελέγχου (C&C) των απατεώνων και κατέβασε ένα αρχείο APK, το οποίο, εάν εκτελεστεί, θα εγκαταστήσει το trojan banking Cerberus.
Το Cerberus είναι μια τρομερή απειλή. Μπορεί να ήταν μόνο για περίπου ένα χρόνο, αλλά έχει ήδη κάνει ένα όνομα για τον εαυτό του, και αρκετές επιθέσεις κατά τους τελευταίους μήνες υποδηλώνουν ότι οι χειριστές της έχουν ιδιαίτερο ενδιαφέρον για τους ισπανόφωνους χρήστες.
Η αναφορά της Avast δεν αναφέρει ποια τραπεζική εφαρμογή στοχεύει, αλλά εξηγεί ότι κλέβει κωδικούς πρόσβασης αντλώντας μια επικάλυψη πάνω από τις φόρμες σύνδεσης των εφαρμογών και εξαλείφοντας τα εισαγόμενα διαπιστευτήρια. Το trojan έχει επίσης τη δυνατότητα να διαβάζει μηνύματα κειμένου και να κλέβει κωδικούς ελέγχου ταυτότητας από εφαρμογές όπως το Google Authenticator, πράγμα που σημαίνει ότι είναι σε θέση να παρακάμψει τον έλεγχο ταυτότητας δύο παραγόντων.
Είναι δύσκολο να πούμε πόσα άτομα χτυπήθηκαν, αλλά όπως μπορείτε να δείτε, όλοι διατρέχουν σοβαρό κίνδυνο. Είναι καλό που η επίθεση έχει τελειώσει.
Η ανάπτυξη έχει σταματήσει… προς το παρόν
Η εφαρμογή Calculadora de Moneda ξεκίνησε τη λήψη του Cerberus κάποια στιγμή στις 6 Ιουλίου, αλλά λίγες ώρες αργότερα, η διανομή σταμάτησε. Οι C&C και το ωφέλιμο φορτίο κακόβουλου λογισμικού κατέστησαν ανενεργά και η εφαρμογή μετατροπής νομισμάτων συνέχισε να λειτουργεί κανονικά
Θα μπορούσαν να υπάρχουν δύο λόγοι για την απόφαση των απατεώνων να μειώσουν την καμπάνια. Μπορεί να ελπίζουν ότι η μικρότερη επίθεση θα τους βοηθήσει να αποφύγουν τον εντοπισμό. Εναλλακτικά, τα σχέδιά τους θα μπορούσαν να έχουν αλλάξει αφού οι ερευνητές του Avast αναχαίτισαν την εκστρατεία. Δεν πρέπει να υποτιμήσουμε την απαίσια πιθανότητα να είναι ένα τεστ που προηγείται μιας μεγαλύτερης επίθεσης.
Όποια και αν είναι η περίπτωση, οι χρήστες πρέπει να γνωρίζουν τον κίνδυνο και πρέπει να γνωρίζουν τι να κάνουν για να διατηρηθούν ασφαλείς. Ευτυχώς, σε αυτή τη συγκεκριμένη περίπτωση, ο σχεδιασμός του Android μπορεί να τους βοηθήσει.
Τα αρχεία APK από πηγές τρίτων μπορεί να είναι επικίνδυνα
Οι ερευνητές του Avast μετέδωσαν τα ευρήματά τους στο Google και παρόλο που μπορείτε να βρείτε μια εφαρμογή που ονομάζεται "Calculadora de Moneda" στο Google Play, η κακόβουλη εφαρμογή θα πρέπει τώρα να καταργηθεί. Πρέπει να πούμε, ωστόσο, ότι σε αυτήν τη συγκεκριμένη περίπτωση, το κακόβουλο λογισμικό δεν μεταφορτώθηκε στην πραγματικότητα στο Play Store. Σε αυτήν την επίθεση, ο μετατροπέας νομίσματος ενήργησε ως σταγονόμετρο και κατέβασε το ωφέλιμο φορτίο APK από τους C&C των χάκερ.
Ανάλογα με την έκδοση, το Android θα εμφανίζει πολλές προειδοποιήσεις και θα ζητήσει άδειες προτού επιτρέψει την εκτέλεση ενός αρχείου APK στη συσκευή. Οι παλαιότερες ενσαρκώσεις του λειτουργικού συστήματος για κινητά της Google δεν θα σας επιτρέψουν να εγκαταστήσετε ένα αρχείο APK, εκτός εάν αλλάξετε ορισμένες από τις προεπιλεγμένες ρυθμίσεις.
Αυτό συμβαίνει επειδή παρόλο που το κακόβουλο λογισμικό εμφανίζεται στο Play Store ξανά και ξανά, ως επί το πλείστον, οι απειλές Android διανέμονται μέσω αρχείων APK που φιλοξενούνται σε ιστότοπους τρίτων. Οι προγραμματιστές του Android γνωρίζουν πόσο μεγάλος είναι ο κίνδυνος εκτέλεσης τέτοιων αρχείων και προσπαθούν να σας προειδοποιήσουν για αυτό. Το μόνο που χρειάζεται να κάνετε είναι να ακούσετε.
