Kemoge: uwaga na szkodliwe i fałszywe aplikacje na Androida

Użytkownicy Androida po raz kolejny przekonują się o tym, czym może grozić instalowanie aplikacji z niezaufanych źródeł. Firma FireEye wykryła działania cyberprzestępców, które przez szkodliwe oprogramowanie miały na celu przejmowanie kontroli nad urządzeniami. Szkodniki atakują użytkowników w aż 20 krajach na całym świecie, w tym także i Polsce.

Zagrożenie otrzymało nazwę Kemoge ze względu na domenę, z której sterowano zarażonymi urządzeniami (aps.meoge.net). Przeprowadzenie ataku polega na przekonaniu użytkowników do instalacji zainfekowanych aplikacji. Wbrew pozorom nie jest to trudne, twórcy szkodników postanowili podszywać się pod znane i popularne aplikacje jak np. przeglądarki internetowe, kalkulatory, gry, a także programy, które mają rzekomo służyć poprawie szybkości Wi-Fi i zwiększyć zasięg sieci bezprzewodowej. To w zupełności wystarcza, aby wiele osób zdecydowało się na instalację aplikacji z nieznanego źródła.

Dodatkowym czynnikiem zagrażającym jest fakt, iż szkodliwe programy zostały umieszczone w różnych zewnętrznych sklepach z aplikacjami, są również reklamowane w akcjach promocyjnych. Jeżeli więc korzystamy nie tylko z Google Play, ale i nieco mniej znanych i nie do końca sprawdzanych sklepów, możemy natknąć się na fałszywki. Ciekawy jest także sam sposób działania malware już po jego instalacji. Najpierw Kemoge zbiera informacje o urządzeniu i przesyła je na serwery reklamowe. Następnie okresowo wyświetla na urządzeniu reklamy. Nie tylko podczas działania aplikacji, ale nawet na pulpicie głównym. To jedynie początek: następnie szkodniki za pośrednictwem łącznie ośmiu exploitów otrzymują dostęp typu root. Od tego momentu mogą instalować, odinstalowywać i uruchamiać na naszym sprzęcie dowolne niepodpisane programy.

Twórcy tego oprogramowania zadbali o to, aby nie było ono łatwe do wykrycia: komunikacja z serwerami kontrolującymi odbywa się jedynie po pierwszym uruchomieniu, a później co 24 godziny. Aktywność sieciowa nie jest więc podejrzana. Kemoge próbuje ponadto usunąć ewentualne oprogramowanie antywirusowe, a także przygotowuje się do wykonywania kolejnych poleceń swoich twórców. Wszystko wskazuje na to, że za atakiem stoi jakaś grupa z Chin. Na celowniku znaleźli się natomiast użytkownicy z wielu krajów, w tym m.in. z Polski, USA, Francji, Anglii i Egiptu.

Przepis na ochronę przed tego typu zagrożeniami jest bardzo prosty: nigdy nie powinniśmy instalować aplikacji z nieznanych źródeł. Dla kogoś zainteresowanego tematem jest to oczywiste, dla wielu innych osób już niekoniecznie, dlatego ważna jest edukacja i uświadamianie tego faktu. Nie klikajmy w podejrzane linki umieszczone w wiadomościach e-mail, SMS-ach i na stronach internetowych, mogą prowadzić do szkodliwego oprogramowania. W miarę możliwości zadbajmy także o aktualne oprogramowanie antywirusowe.