Trojany na Androida czają się wszędzie, ale to nie tylko aplikacje bankowe

Podczas niedawnej wizyty w siedzibie firmy Eset w Krakowie miałam okazję zapoznać się z tematem bliżej. Lukas Stefanko, pracujący w firmie Eset w Koszycach, przedstawił klasyfikację malware, jakie możemy spotkać, korzystając z urządzenia z Androidem. Większość aplikacji, które można zaklasyfikować jak malware, to PUA (potentially unwanted apps) – aplikacje, które udają przydatne narzędzie, ale tak naprawdę nie robią nic, poza wyświetlaniem reklam poza swoim kontekstem. Typowe trojany stanowią mniej niż 25% szkodliwych aplikacji. Przypominam jednak, że mówimy o ogromnym sklepie z aplikacjami, notującym dziesiątki miliardów pobrań rocznie, oraz jednym z najpopularniejszych obecnie systemów operacyjnych.

Poza Google Play na szkodliwą aplikację możemy trafić w wielu innych miejscach. Atakujący mogą wysyłać e-maile z odnośnikami do szkodliwych plików, SMS-y i wiadomości przez komunikatory. Android ma też możliwość korzystania z innych sklepów z aplikacjami niż Google Play. Zwykle jest to zaleta, gdyż możemy sięgnąć po Amazon Appstore i liczyć na ciekawe promocje albo F-Droid, zawierający wyłącznie wolne oprogramowanie. Jest jednak sporo sklepów, które pozwalają użytkownikom udostępniać dowolne aplikacje, łącznie z crackowanymi grami. Po drugiej stronie spektrum będą takie sklepy, jak widoczne na slajdzie poniżej – celem ich istnienia było infekowanie smartfonów.

Odwiedzając strony internetowe w przeglądarce mobilnej też możemy trafić na atak, podobnie jak buszując po sieci na komputerze. Podczas swojej prezentacji Lukas opisał przypadek stron pornograficznych, na których wyświetlane było ostrzeżenie o potrzebie aktualizacji systemu. Na podobny atak socjotechniczny można trafić w wielu innych sytuacjach, na różnych zainfekowanych stronach, także na innych systemach. W tle automatycznie pobrana zostanie rzekoma aktualizacja, którą użytkownik powinien zainstalować (według atakujących).

W opisany wyżej sposób można na telefonie zainstalować między innymi ransomware – szkodliwą aplikację, która zablokuje smartfon i zażąda okupu za jego odblokowanie. To jedno z najpopularniejszych zagrożeń, jakie czyha na użytkowników Androida. Przykłady znalezione przez specjalistów z Eseta były dostępne w wielu językach, a atakujący chcieli za odblokowanie smartfonu od 10 do 500 dolarów (powyżej widać przykład blokady udającej FBI z żądaniem okupu). Aplikacje te mogły szyfrować wszystkie dane na urządzeniu, podobnie jak ransomware na Windowsie, tylko zmienić PIN zabezpieczający smartfon albo wyświetlać ostrzeżenie nad wszystkimi innymi aplikacjami. Przynajmniej jedną z takich aplikacji można było znaleźć w Google Play, gdzie podawała się za narzędzie do naprawiania akumulatora. By uśpić czujność użytkownika, symulowała skanowanie akumulatora, ale czekała na SMS z poleceniem zablokowania urządzenia z centrali. Przed ransomware można się relatywnie łatwo obronić, robiąc kopie zapasowe danych. Trzeba też zaznaczyć, że ceny smartfonów spadają i czasami atakujący chcą więcej, niż warte jest urządzenie.

W ostatnich miesiącach widzieliśmy też wzrost aktywności trojanów bankowych i związanych z nimi ataków phishingowych, których celem jest wydobycie danych logowania. Zainfekowany smartfon będzie wyświetlał pola logowania, dostarczone przez malware, nad prawdziwymi aplikacjami. Mogą to być nie tylko aplikacje bankowości elektronicznej, ale też klienty poczty czy serwisów społecznościowych. Ich cel jest jednak zawsze taki sam – przekonanie użytkownika, by podał atakującym swoje dane.

Ciekawym atakiem jest „dojenie” (milking) użytkownika. Poza wykradnięciem danych logowania trojan może przechwytywać SMS-y, a na polecenie z centrali także zablokować urządzenie w taki sposób, by właściciel nie mógł otrzymać SMS-a od banku ani odebrać połączenia. W tym czasie atakujący wyprowadzają pieniądze z konta ofiary, korzystając z możliwości odczytywania haseł jednorazowych. Trojany tego typu są o tyle niebezpieczne, że infekcja jest powiązana z uruchamianiem prawdziwej aplikacji banku.

Niestety takie trojany przedostały się także do Google Play. Pod koniec 2017 roku specjaliści z Eseta odkryli w sklepie aplikację, atakującą klientów 14 polskich banków. Po zainstalowaniu sprawdzała, jakie aplikacje bankowości elektronicznej są już na urządzeniu, podszywała się pod jedną z nich i pokazywała powiadomienie push z banku. By odczytać wiadomość, trzeba było się zalogować, podając swoje dane na spreparowanej stronie banku.

Google Play, choć powinien gwarantować nam bezpieczeństwo, czasami tego nie robi. Poza wymienionymi wyżej trojanami bankowymi pracownicy Eseta odkryli mnóstwo innych zagrożeń, związanych z finansami. Trojany bankowe można podzielić na dwie grupy: zaawansowane i fałszywe. Oba rodzaje można spotkać w Google Play. Trojany zaawansowane mają szersze możliwości. Mogą odczytywać SMS-y, instalować aplikacje z zewnątrz, dopasować się do innych aplikacji na urządzeniu. Zwykle atak przebiega w kilku krokach, a użytkownik może zostać poproszony o instalację aplikacji podszywającej się na przykład pod aktualizację Gmaila. „Głupie” aplikacje z kolei podszywają się pod aplikację konkretnego banku i obiecują dodatkowe funkcje, których nie mają prawdziwe aplikacje bankowe, albo dodatkowe korzyści finansowe. Aplikacje te zmuszają użytkownika, by od razu zalogował się na swoje konto, nie dając czasu na zastanowienie się. Dane logowania są od razu wysyłane atakującym, a aplikacje mogą przechwytywać wiadomości SMS i odczytywać hasła jednorazowe. Pod tym względem są bardziej niebezpieczne niż złożone ataki. Stefanko znalazł bardzo dużo aplikacji tego typu, udających aplikacje banków działających w Turcji. Na polskim rynku taki atak skierowany został na klientów BZ WBK. Do marca obecna była ciekawa aplikacja Universal Banking Poland, oferująca logowanie do 19 banków w jednym miejscu.

Jednym z bardziej znanych ataków w Google Play był Android/Feabme – facebookowy phishing, znaleziony w 2015 roku, obecny w popularnych grach. Niektóre z nich zostały zainstalowane nawet milion razy podczas 2 miesięcy obecności w sklepie. Wykradzione dane logowania można wykorzystać w kolejnych atakach, na przykład rozsyłając linki do szkodliwych plików znajomym ofiar.

Największą kampanią, przeprowadzoną w Google Play i analizowaną przez Eseta, był Android/Clicker. Szkodliwe aplikacje były dostępne w sklepie przez 7 miesięcy i zostały zainstalowane ponad 800 tysięcy razy. W większości były to kopie dobrze znanych gier – Minecrafta, Subway Surfers, My Talking Tom i kilku innych, ale nie spełniały one żadnej funkcji. Codziennie infekowanych było około 3600 użytkowników. W tym czasie atakującym udało się przeprowadzić 343 skuteczne ataki. Zadaniem tych aplikacji było po prostu klikanie w tle na aplikacje i generowanie w ten sposób zysków dla autorów.

Kampania Android/Clicker trwa już prawie dwa lata, zmieniają się tylko aplikacje będące jej częścią. Lukas Stefanko w 2018 roku znalazł już ponad 20 aplikacji, pochodzących od różnych autorów, które zachowują się w ten sposób, W sumie zostały pobrane prawie pół miliona razy, a niektóre z nich mają całkiem niezle oceny.

Od ubiegłego roku sporo mówi się o inwestycjach w kryptowaluty i także one doczekały się własnych zagrożeń w Google Play. Można trafić na przykład na portfele kryptowalut, w których tak naprawdę klucze do nowego portfela nie są generowane przy tworzeniu go. Aplikacja cały ten proces udaje, a klucz portfela jest zakodowany na stałe. Jest to oczywiście publiczny klucz portfela autora aplikacji, więc wszystkie przelewy trafią do niego. Popularne są także aplikacje podszywające się pod giełdy kryptowalut, zwłaszcza takie, które nie dostarczają własnej aplikacji. Na początku roku można było znaleźć kilkanaście aplikacji giełdy Poloniex, które wykradały dane logowania do kont. W przykładzie prezentowanym przez Lukasa nie minęło 20 minut, by na jego konto zalogował się ktoś z Ukrainy (jego logowania pochodzą ze Słowacji), komu aplikacja wysłała dane.

Koparki kryptowalut są najpopularniejszym zagrożeniem, związanym z cyfrowymi dobrami. Wśród aplikacji, które bez naszej wiedzy obliczają kolejne bloki, możemy spotkać takie, które wykorzystują skrypty Coinhive do kopania Monero albo mają wbudowaną odpowiednią bibliotekę. Google walczy z takimi aplikacjami, ale wciąż pojawiają się nowe, podszywające się pod proste gry czy narzędzia.

Z Lukasem Stefanko miałam też okazję porozmawiać o aplikacjach, które znajdują się w Google Play, ale w ogóle nie powinny istnieć. Specjalista wydawał się zachwycony pomysłem na aplikację udającą wentylator albo odstraszającą komarzyce ultradźwiękami. Podczas swoich badań znalazł też wspaniale przygotowaną aplikację, będącą uniwersalnym pilotem do każdego klimatyzatora. Aplikacja łączy się z urządzeniem za drugim lub trzecim razem i nawet udaje, że naprawdę nim steruje… to oczywiście prosta symulacja, a prawdziwy klimatyzator pracuje po staremu.

Pierwsze miejsce na liście aplikacji do usunięcia zdaniem Lukasa zajmuje… Flash Player. Wtyczka do przeglądarek jest od lat niedostępna dla Androida, ale w sklepie znajdziemy kilkadziesiąt zamienników i aplikacji towarzyszących. Seks też można łatwo sprzedać – wystarczy wystawić do czatu bota i czekać, aż rozmówcy będą gotowi zapłacić za możliwość dalszej rozmowy.

Osobny krąg w piekle powinien być zarezerwowany dla tych, którzy dopuścili do Google Play aplikacje dodające kartę pamięci, więcej RAM-u albo naprawiające akumulator.