Aplikacja Calculadora de Moneda w Google Play ukrywała złośliwego trojana Cerberus
Google spotkał się z dużą krytyką za dopuszczanie zbyt dużej ilości złośliwego oprogramowania w Google Play i można powiedzieć, że jest to bardzo dobry powód. W porównaniu z Apple Google przyjął znacznie bardziej liberalną politykę, jeśli chodzi o zezwalanie na publikowanie aplikacji w sklepie Play, a częstotliwość, z jaką złośliwe oprogramowanie przedostaje się przez pęknięcia, pokazuje, że kontrole nie są wystarczająco rygorystyczne. Biorąc to pod uwagę, czasami hakerzy są szczególnie zdeterminowani, aby zachować swoje intencje w tajemnicy. Wczoraj na przykład badacze z Avast powiedzieli nam o sprytnych sztuczkach, które cyberprzestępcy wykorzystali do ukrycia niedawnego ataku na hiszpańskich użytkowników.
Table of Contents
Hakerzy opublikowali przelicznik walut w Google Play
Operacja rozpoczęła się w marcu, gdy operatorzy trojana bankowego Cerberus opublikowali aplikację w oficjalnym sklepie Androida. Aplikacja nazywała się „Calculadora de Moneda” (hiszpańskie określenie „Kalkulator walutowy”), a hakerzy absolutnie nie mieli problemów z uruchomieniem jej po sprawdzeniach bezpieczeństwa Google.
To dlatego, że nie było w tym nic złośliwego. Początkowa wersja Calculadora de Moneda była całkowicie łagodna, a nawet działała jako przelicznik walut. Celem było zdobycie zaufania użytkowników i zdobycie go. Według Avast kilka dni temu aplikacja do przeliczania walut miała około 10 tysięcy pobrań.
Oś czasu nie jest całkowicie jasna, ale w pewnym momencie od marca do lipca rozpoczął się złośliwy etap operacji. Hakerzy opublikowali aktualizację zawierającą kilka wierszy kodu, które później pobiorą i zainstalują Cerberusa. Jednak nie spieszyli się, by go uruchomić. Kod pozostał uśpiony i został aktywowany zaledwie kilka dni temu.
Oszuści wdrożyli trojana bankowego Cerberus kilka dni temu
Złośliwy kod skontaktował się z serwerem oszustów (C&C) i pobrał plik APK, który, jeśli zostanie wykonany, zainstalowałby trojana bankowego Cerberus.
Cerberus to ogromne zagrożenie. Może istniał dopiero od około roku, ale już wyrobił sobie markę, a kilka ataków w ciągu ostatnich kilku miesięcy sugeruje, że jego operatorzy są szczególnie zainteresowani hiszpańskojęzycznymi użytkownikami.
Raport Avasta nie mówi, do której aplikacji bankowej jest kierowany, ale wyjaśnia, że kradnie hasła, rysując nakładkę na formularze logowania do aplikacji i odfiltrowując wprowadzone dane uwierzytelniające. Trojan ma również możliwość czytania wiadomości tekstowych i kradzieży kodów uwierzytelniających z aplikacji takich jak Google Authenticator, co oznacza, że jest w stanie ominąć uwierzytelnianie dwuskładnikowe.
Trudno powiedzieć, ile osób zostało trafionych, ale jak widać, wszyscy byli narażeni na poważne ryzyko. Dobrze, że atak się skończył.
Wdrożenie zostało zatrzymane… na razie
Aplikacja Calculadora de Moneda rozpoczęła pobieranie Cerberusa w pewnym momencie 6 lipca, ale zaledwie kilka godzin później dystrybucja zatrzymała się. C&C i ładunek szkodliwego oprogramowania stały się nieaktywne, a aplikacja do przeliczania walut działała normalnie.
Może być kilka powodów, dla których oszuści postanowili skrócić kampanię. Mogą mieć nadzieję, że mniejszy atak pomoże im uniknąć wykrycia. Alternatywnie ich plany mogły ulec zmianie po przechwyceniu kampanii przez badaczy Avast. Nie powinniśmy też lekceważyć ponurej możliwości bycia testem, który poprzedza większy atak.
W każdym razie użytkownicy powinni zdawać sobie sprawę z ryzyka i muszą wiedzieć, co zrobić, aby zapewnić sobie bezpieczeństwo. Na szczęście w tym konkretnym przypadku projekt Androida może im pomóc.
Pliki APK ze źródeł zewnętrznych mogą być niebezpieczne
Badacze Avast przekazali swoje odkrycia do Google i chociaż w Google Play można znaleźć aplikację o nazwie „Calculadora de Moneda”, złośliwą aplikację należy teraz usunąć. Trzeba jednak powiedzieć, że w tym konkretnym przypadku szkodliwe oprogramowanie nie zostało faktycznie przesłane do sklepu Play. W tym ataku konwerter walut działał jak dropper i pobrał ładunek APK z C&C hakerów.
W zależności od wersji system Android wyświetli wiele ostrzeżeń i poprosi o uprawnienia, zanim pozwoli na uruchomienie pliku APK na urządzeniu. Starsze wersje mobilnego systemu operacyjnego Google nie pozwalają zainstalować pliku APK, chyba że zmienisz niektóre ustawienia domyślne.
Wynika to z faktu, że chociaż złośliwe oprogramowanie pojawia się w sklepie Play co jakiś czas, w większości przypadków zagrożenia dla Androida są dystrybuowane za pomocą plików APK hostowanych na stronach internetowych osób trzecich. Programiści Androida wiedzą, jak duże jest ryzyko uruchamiania takich plików, i próbują cię o tym ostrzec. Wszystko, co musisz zrobić, to słuchać.
