Jakie jest najlepsze zabezpieczenie w przypadku korzystania z urządzeń mobilnych i nie tylko? Mózg. Wystarczy mieć wyobraźnię i zachować zdrowy rozsądek, a wtedy w mniejszym stopniu możecie liczyć na inne jednostki. Tak jest w przypadku aplikacji ze sklepu Google Play, bo widocznie gigant nie może poradzić sobie z malware w swojej usłudze.
Przeczytaj również:
- Plaga wirusów RansomWare na świecie – jak się przed nimi ustrzec?
- Klawiatura na Androida wysyła dane użytkowników na chińskie serwery.
- Bezpieczeństwo i prywatność w internecie (na Androidzie).
- Kolejny ransomware w sklepie Google Play.
- Co 10 sekund pojawia się nowy rodzaj złośliwego oprogramowania na Androida.
W sieci pojawiło się kilka raportów, które informują o aplikacjach zawierających niebezpieczny kod. Google cały czas walczy z takimi praktykami, ale ciężko w czasie rzeczywistym wykrywać wszystkie niebezpieczeństwa i usuwać je na bieżąco. W sklepie Google Play wprowadzano już kilka mechanizmów, które miały eliminować takie aplikacje, ale przed nimi jeszcze dużo pracy.
Raport Dr. Web donosi, że w sklepie Google Play wykryli aplikacje zawierające malware. Zostały one pobrane przynajmniej przez 2,370,000 użytkowników, ale liczba ta może dotyczyć nawet 11,700,000 użytkowników! Chodzi tutaj o trojana, który nazywa się Android.RemoteCode.106.origin. Zlokalizowano go w takich aplikacjach jak:
- Sweet Bakery Match 3 – Swap and Connect 3 Cakes 3.0;
- Bible Trivia, version 1.8;
- Bible Trivia – FREE, version 2.4;
- Fast Cleaner light, version 1.0;
- Make Money 1.9;
- Band Game: Piano, Guitar, Drum, version 1.47;
- Cartoon Racoon Match 3 – Robbery Gem Puzzle 2017, version 1.0.2;
- Easy Backup & Restore, version 4.9.15;
- Learn to Sing, version 1.2.
Trojan ma za zadania uruchamianie kolejnych modułów, które wykonują poszczególne zadania. Wywołuje poszczególne moduły w celu podbijania statystyk i zwiększenia zysków z reklam na różnych stronach.
W skrócie, głównym celem Android.RemoteCode.106.origin jest pobieranie i uruchamianie dodatkowych złośliwych modułów wykorzystywanych do zwiększania statystyk ruchu na stronie, a także śledzenie linków reklamowych. Działania te przynoszą cyberprzestępcom zysk. Ponadto złośliwy program może być używany do przeprowadzania ataków phishingowych i kradzieży poufnych informacji.
Kolejnym złośliwym oprogramowaniem jest Grabos znalezione przez zespół McAfee. McAfee twierdzi, że zlokalizował 144 aplikacje w sklepie Google Play, które zawierają malware. Najczęściej występuje on w postaci odtwarzaczy muzycznych i aplikacji pozwalających na pobieranie plików MP3.
Według zespołu McAfee złośliwe aplikacje zostały pobrane od 4,2 miliona do 17,4 milionów razy. Statystyki podają na podstawie 34 z 144 występujących aplikacji. To pokazuje, że użytkowników, którzy pobrali niebezpieczne aplikacji może być zdecydowanie więcej.
Grabos działa tak, że wyświetla okna z powiadomieniami, by użytkownik pobrał kolejne aplikacje. Tutaj też wszystko rozchodzi się o pieniądze, ale deweloperzy wykorzystujący ten mechanizm mieliby zarabiać na płatnych aplikacjach, do których odsyła złośliwy kod.
Do tego dochodzą jeszcze szkodliwe aplikacje, które atakują użytkowników w Azji. Chodzi tutaj o trojana AsiaHitGroup, który wyświetla określone reklamy. Nie ma zaskoczenia, również chodzi o zarobek twórców aplikacji. Wykryto również, że trojan może dodatkowo instalować kolejne zagrożenie. W tym przypadku wykorzystuje SMS i zapisuje użytkowników do płatnych subskrypcji, które jak wiemy do najtańszych nie należą.
Złośliwe oprogramowanie zostało wykryte w niektórych aplikacjach do skanowania kodów QR i budzikach, które są dostępne w sklepie Google Play.
Na koniec warto jeszcze dodać, że dosyć szybko usunięto trojana, którego wykrył zespół ESET. Android/TrojanDropper.Agent.BKY został wykryty w ośmiu aplikacjach, ale został już zgłoszony do zespołu bezpieczeństwa Google i w tym przypadku działa już system Google Play Protect. Użytkownicy mający włączony ten system bezpieczeństwa nie zainstalują zagrożonych aplikacji.
Aplikacje nie zostały pobrane w większej skali, ale działanie postanowili opisać na swojej stronie, bo wydaje się dosyć „ciekawym” rozwiązaniem. Jest to wielostopniowe oprogramowanie, które po zainstalowaniu nie wygląda podejrzanie. Użytkownicy mogli nawet nie zauważyć podejrzanych uprawnień, a aplikacje spełniały swoje zadania. Ciężko więc było potencjalnej ofierze zauważyć coś podejrzanego, bo aplikacje wykonywały czynności, na których zależało użytkownikom.
Złośliwy kod został dobrze zaszyty, ale w tle potrafił uruchamiać kolejne moduły. Odbywało się to w trzech etapach. W dwóch pierwszych uruchamiano odpowiednie moduły, by w trzecim wysłać użytkownikowi link do pobrania niebezpiecznej aplikacji. Wszystko to odbywało się powoli i cierpliwie tak, by użytkownik niczego nie podejrzewał.
Co dalej?
Tak jak wspominałem, najlepszym zabezpieczeniem jest włączenie myślenia. Google walczy ze złośliwymi aplikacjami w swoim sklepie, ale nie jest w stanie wykryć wszystkiego od razu. Warto myśleć przed instalacją mniej popularnych aplikacji, a już na pewno zastanowić się dwa razy nad pobieraniem plików z serwisów typu APK Mirror.
Najlepiej instalować aplikacji od zaufanych programistów lub zainstalować znany program antywirusowy. Chociaż te ostatnie nie dają 100% gwarancji bezpieczeństwa. Warto jednak zabezpieczyć się na wielu frontach i oprócz rozwagi spróbować jakiejś dodatkowej ochrony.
5 comments
Merlin
23 listopada 2017 at 11:21
Rozsądek i wyobraźnia to jednak nie wszystko. Czasem ciężko jest sobie wyobrazić jakieś zagrożenie. Mnie na wiele rzeczy uczulił serwis klikaj bezpiecznie. Ktoś, kto siedzi w temacie, to łatwo zapobiegnie zagrożeniom, ale zwykły uzytkownik raczej nie uniknie wpadek. No owszem dobry antywirus pewnie też jest przydatny.
Maciej - fandroid.com.pl
23 listopada 2017 at 12:55
Tak, oczywiście i wspomniałem o tym. Jednak, tak jak w życiu, myślenie i wyobraźnia na pierwszym miejscu. To tak jakbyś jechał samochodem i liczył na to, że wszystkie systemy uratują Cię, nieważne co byś nie robił.
Najpierw myślenie, a później trzeba liczyć na resztę.
Zwykły użytkownik również mógłby zmniejszyć ilość wpadek. Gdyby tylko w szkole zadbali o edukację, a niestety jest to tylko liźnięte przez nasze szkoły. Pamiętam czasy, kiedy internet wchodził do domów, to i tak my na informatyce graliśmy w grę Prehistorik na ocenę ;)
Nie było podstaw nawet w szkole średniej, bo mieliśmy „wolną rękę” i każdy siedział na czatach :D
Borubar
16 listopada 2017 at 13:36
Z google play w ogóle nie należy korzystać.
Tam nie ma żadnej kontroli nad tym co jest w kodzie.
Jedyne zabezpieczenie polega na tym, że za możliwość wrzucania tam jakiś programów google domaga się niewielkiej opłaty co jest związane podaniem danych np karty płatniczej albo konta w banku – liczą na to, że taka nieanonimowa osoba nie narozrabia.
A co jeśli jest to podstawiony słup? Albo jakaś lewa firma zarejestrowana na śmietniku? Albo ktoś kto się tym zwyczajnie nie przejmuje, że mają jego dane?
Tylko kontrola kodu przez społeczność daje pewność, że ktoś nie przemyci jakiejś lewizny w programie. Na takich zasadach działa f-dorid – jeśli chcesz aby coś się tam znalazło musisz opublikować źródła tak aby wszyscy chętni mogli je sprawdzić. Dlatego obecnie f-droid to najlepsze źródło bezpiecznego oprogramowania na adroida.
Oczywiście ilość aplikacji tam jest mniejsza niż w google play – ale właśnie jeśli coś jest w google play a nie ma tego w repo f-droid to na 90% dlatego, że autor tego czegoś miał jakieś niecne intencje (chciał coś ukryć, albo jego aplikacja robiła coś niedobrego).
Maciej - fandroid.com.pl
16 listopada 2017 at 15:53
Jakoś nie mam zaufania do tego. Mogę się mylić, więc jak masz jakiś link do opisu, to z chęcią zapoznam się.
Borubar
17 listopada 2017 at 10:51
Opis u nich na stronie https://f-droid.org/en/about/