„Calculadora de Moneda“ programa „Google Play“ slėpė kenkėjišką „Cerberus“ trojaną
„Google“ sulaukė gana daug kritikos, leidžiančios per daug kenkėjiškų programų „Google Play“, ir jūs galite pasakyti, kad tam yra labai gera priežastis. Palyginus su „Apple“, „Google“ priėmė daug liberalesnę politiką, kai reikia leisti programas „Play“ parduotuvėje, o kenkėjiškų programų paslydimo per įtrūkimus dažnumas rodo, kad patikrinimai nėra pakankamai griežti. Atsižvelgiant į tai, kartais įsilaužėliai yra ypač pasiryžę paslaptį laikyti savo kenkėjiškais ketinimais. Pavyzdžiui, vakar „ Avastos“ tyrėjai mums papasakojo apie protingus triukus, kuriuos kibernetiniai nusikaltėliai panaudojo norėdami paslėpti neseną Ispanijos vartotojų ataką.
Table of Contents
Piratai „Google Play“ paskelbė valiutos keitiklį
Operacija prasidėjo dar kovo mėnesį, kai „Cerberus“ bankininkystės trojos operatoriai paskelbė programą oficialioje „Android“ parduotuvėje. Programa vadinosi „Calculadora de Moneda“ (ispaniškai - „Valiutų skaičiuoklė“), o įsilaužėliai neturėjo jokių problemų vykdydami ją atlikdami „Google“ saugumo patikrinimus.
Ogi todėl, kad jame nebuvo nieko piktybiško. Pradinė „Calculadora de Moneda“ versija buvo visiškai gerybinė ir netgi veikė kaip valiutos keitiklis. Tikslas buvo užsitarnauti vartotojų pasitikėjimą ir užsitarnauti. Anot „Avast“, prieš kelias dienas valiutos keitiklio programa buvo atsiųsta apie 10 tūkst.
Laikas nėra tiksliai aiškus, tačiau tam tikru momentu nuo kovo iki liepos prasidėjo kenksmingas operacijos etapas. Piratai išstūmė atnaujinimą, kuriame buvo kelios kodo eilutės, kurios vėliau leis atsisiųsti ir įdiegti „Cerberus“. Vis dėlto jie neskubėjo to sukelti. Kodas neveikė ir buvo suaktyvintas tik prieš kelias dienas.
Sukčiai prieš kelias dienas dislokavo „Cerberus“ bankininkystės troja
Kenkėjiškas kodas susisiekė su sukčių komandos ir valdymo serveriu (C&C) ir atsisiuntė APK failą, kuris, jei bus vykdomas, įdiegtų „Cerberus“ bankininkystės troja.
Cerberus kelia didžiulę grėsmę. Tai galėjo būti tik maždaug metus, bet ji jau paskelbė savo vardą ir keletas išpuolių per pastaruosius keletą mėnesių rodo, kad jo operatoriai ypač susidomi ispaniškai kalbančiais vartotojais.
„Avast“ ataskaitoje nėra pasakyta, kuriai bankininkystės programai ji taikoma, tačiau paaiškinama, kad ji vagia slaptažodžius, piešdama perdanga per programų prisijungimo formas ir išfiltruodama įvestus kredencialus. Trojanas taip pat turi galimybę skaityti tekstinius pranešimus ir pavogti autentifikavimo kodus iš tokių programų, kaip „Google Authenticator“, o tai reiškia, kad ji gali apeiti dviejų veiksnių autentifikavimą.
Sunku pasakyti, kiek žmonių nukentėjo, bet, kaip matote, jiems visiems iškilo rimtas pavojus. Gerai, kad ataka jau baigėsi.
Diegimas sustabdytas... kol kas
„Calculadora de Moneda“ programa tam tikru metu liepos 6 d. Pradėjo atsisiųsti „Cerberus“, tačiau tik po kelių valandų platinimas nutrūko. C&C ir kenkėjiškos programinės įrangos apkrova tapo neaktyvi, o valiutos keitiklio programa ir toliau veikė kaip įprasta.
Sukčių sprendimas trumpinti kampaniją gali būti keletas priežasčių. Jie gali tikėtis, kad mažesnė ataka padės jiems išvengti aptikimo. Arba jų planai galėjo pasikeisti po to, kai „Avast“ tyrėjai įsiterpė į kampaniją. Taip pat neturėtume atmesti niūrios galimybės, kad tai testas, kuris vyksta prieš didesnį išpuolį.
Bet kokiu atveju vartotojai turėtų žinoti apie riziką ir žinoti, ką daryti, kad būtų saugūs. Laimei, šiuo konkrečiu atveju „Android“ dizainas gali jiems padėti.
APK failai iš trečiųjų šalių šaltinių gali būti pavojingi
„Avast“ tyrėjai perdavė savo atradimus „Google“ ir nors „Google Play“ galite rasti programą, pavadintą „Calculadora de Moneda“, kenkėjiška programa dabar turėtų būti pašalinta. Tačiau reikia pasakyti, kad šiuo konkrečiu atveju kenkėjiška programa nebuvo įkelta „Play“ parduotuvėje. Šioje atakoje valiutos keitiklis veikė kaip lašintuvas ir iš įsilaužėlių „C&C“ atsisiuntė APK naudingą krovinį.
Priklausomai nuo versijos, „Android“ parodys daugybę įspėjimų ir paprašys leidimų, kol leis APK failą paleisti įrenginyje. Senesni „Google“ mobiliosios operacinės sistemos įsikūnijimai neleis įdiegti APK failo, jei nepakeisite kai kurių numatytųjų nustatymų.
Taip yra todėl, kad nors kenkėjiška programinė įranga „Play“ parduotuvėje atsiranda vis ir vėl, dažniausiai „Android“ grėsmės yra platinamos per APK failus, esančius trečiųjų šalių svetainėse. „Android“ kūrėjai žino, kokia yra rizika paleisti tokius failus, ir jie bando jus apie tai įspėti. Viskas, ką jums reikia padaryti, tai klausyti.
