Trojany na Androida czają się wszędzie, ale to nie tylko aplikacje bankowe

Trojany na Androida czają się wszędzie, ale to nie tylko aplikacje bankowe09.10.2018 15:05

Ponieważ system Android cieszy się ogromną popularnością, a tworzenie dla niego aplikacji jest banalnie proste, system ten jest popularnym celem ataków i nadużyć. Wiele z nich trafiło do Google Play, gdyż jak pewnie zauważyliście, kontrola w nim jest bardzo powierzchowna. Instalując nowe aplikacje, trzeba więc do sprawy podchodzić bardzo ostrożnie. Trzeba też z rezerwą podchodzić do podejrzanych SMS-ów, wiadomości z komunikatorów i e-maili.

Podczas niedawnej wizyty w siedzibie firmy Eset w Krakowie miałam okazję zapoznać się z tematem bliżej. Lukas Stefanko, pracujący w firmie Eset w Koszycach, przedstawił klasyfikację malware, jakie możemy spotkać, korzystając z urządzenia z Androidem. Większość aplikacji, które można zaklasyfikować jak malware, to PUA (potentially unwanted apps) – aplikacje, które udają przydatne narzędzie, ale tak naprawdę nie robią nic, poza wyświetlaniem reklam poza swoim kontekstem. Typowe trojany stanowią mniej niż 25% szkodliwych aplikacji. Przypominam jednak, że mówimy o ogromnym sklepie z aplikacjami, notującym dziesiątki miliardów pobrań rocznie, oraz jednym z najpopularniejszych obecnie systemów operacyjnych.

Poza Google Play na szkodliwą aplikację możemy trafić w wielu innych miejscach. Atakujący mogą wysyłać e-maile z odnośnikami do szkodliwych plików, SMS-y i wiadomości przez komunikatory. Android ma też możliwość korzystania z innych sklepów z aplikacjami niż Google Play. Zwykle jest to zaleta, gdyż możemy sięgnąć po Amazon Appstore i liczyć na ciekawe promocje albo F-Droid, zawierający wyłącznie wolne oprogramowanie. Jest jednak sporo sklepów, które pozwalają użytkownikom udostępniać dowolne aplikacje, łącznie z crackowanymi grami. Po drugiej stronie spektrum będą takie sklepy, jak widoczne na slajdzie poniżej – celem ich istnienia było infekowanie smartfonów.

[1/2]
[2/2]

Odwiedzając strony internetowe w przeglądarce mobilnej też możemy trafić na atak, podobnie jak buszując po sieci na komputerze. Podczas swojej prezentacji Lukas opisał przypadek stron pornograficznych, na których wyświetlane było ostrzeżenie o potrzebie aktualizacji systemu. Na podobny atak socjotechniczny można trafić w wielu innych sytuacjach, na różnych zainfekowanych stronach, także na innych systemach. W tle automatycznie pobrana zostanie rzekoma aktualizacja, którą użytkownik powinien zainstalować (według atakujących).

Pieniądze zawsze zagrożone

W opisany wyżej sposób można na telefonie zainstalować między innymi ransomware – szkodliwą aplikację, która zablokuje smartfon i zażąda okupu za jego odblokowanie. To jedno z najpopularniejszych zagrożeń, jakie czyha na użytkowników Androida. Przykłady znalezione przez specjalistów z Eseta były dostępne w wielu językach, a atakujący chcieli za odblokowanie smartfonu od 10 do 500 dolarów (powyżej widać przykład blokady udającej FBI z żądaniem okupu). Aplikacje te mogły szyfrować wszystkie dane na urządzeniu, podobnie jak ransomware na Windowsie, tylko zmienić PIN zabezpieczający smartfon albo wyświetlać ostrzeżenie nad wszystkimi innymi aplikacjami. Przynajmniej jedną z takich aplikacji można było znaleźć w Google Play, gdzie podawała się za narzędzie do naprawiania akumulatora. By uśpić czujność użytkownika, symulowała skanowanie akumulatora, ale czekała na SMS z poleceniem zablokowania urządzenia z centrali. Przed ransomware można się relatywnie łatwo obronić, robiąc kopie zapasowe danych. Trzeba też zaznaczyć, że ceny smartfonów spadają i czasami atakujący chcą więcej, niż warte jest urządzenie.

W ostatnich miesiącach widzieliśmy też wzrost aktywności trojanów bankowych i związanych z nimi ataków phishingowych, których celem jest wydobycie danych logowania. Zainfekowany smartfon będzie wyświetlał pola logowania, dostarczone przez malware, nad prawdziwymi aplikacjami. Mogą to być nie tylko aplikacje bankowości elektronicznej, ale też klienty poczty czy serwisów społecznościowych. Ich cel jest jednak zawsze taki sam – przekonanie użytkownika, by podał atakującym swoje dane.

Ciekawym atakiem jest „dojenie” (milking) użytkownika. Poza wykradnięciem danych logowania trojan może przechwytywać SMS-y, a na polecenie z centrali także zablokować urządzenie w taki sposób, by właściciel nie mógł otrzymać SMS-a od banku ani odebrać połączenia. W tym czasie atakujący wyprowadzają pieniądze z konta ofiary, korzystając z możliwości odczytywania haseł jednorazowych. Trojany tego typu są o tyle niebezpieczne, że infekcja jest powiązana z uruchamianiem prawdziwej aplikacji banku.

Niestety takie trojany przedostały się także do Google Play. Pod koniec 2017 roku specjaliści z Eseta odkryli w sklepie aplikację, atakującą klientów 14 polskich banków. Po zainstalowaniu sprawdzała, jakie aplikacje bankowości elektronicznej są już na urządzeniu, podszywała się pod jedną z nich i pokazywała powiadomienie push z banku. By odczytać wiadomość, trzeba było się zalogować, podając swoje dane na spreparowanej stronie banku.

Google Play, choć powinien gwarantować nam bezpieczeństwo, czasami tego nie robi. Poza wymienionymi wyżej trojanami bankowymi pracownicy Eseta odkryli mnóstwo innych zagrożeń, związanych z finansami. Trojany bankowe można podzielić na dwie grupy: zaawansowane i fałszywe. Oba rodzaje można spotkać w Google Play. Trojany zaawansowane mają szersze możliwości. Mogą odczytywać SMS-y, instalować aplikacje z zewnątrz, dopasować się do innych aplikacji na urządzeniu. Zwykle atak przebiega w kilku krokach, a użytkownik może zostać poproszony o instalację aplikacji podszywającej się na przykład pod aktualizację Gmaila. „Głupie” aplikacje z kolei podszywają się pod aplikację konkretnego banku i obiecują dodatkowe funkcje, których nie mają prawdziwe aplikacje bankowe, albo dodatkowe korzyści finansowe. Aplikacje te zmuszają użytkownika, by od razu zalogował się na swoje konto, nie dając czasu na zastanowienie się. Dane logowania są od razu wysyłane atakującym, a aplikacje mogą przechwytywać wiadomości SMS i odczytywać hasła jednorazowe. Pod tym względem są bardziej niebezpieczne niż złożone ataki. Stefanko znalazł bardzo dużo aplikacji tego typu, udających aplikacje banków działających w Turcji. Na polskim rynku taki atak skierowany został na klientów BZ WBK. Do marca obecna była ciekawa aplikacja Universal Banking Poland, oferująca logowanie do 19 banków w jednym miejscu.

Google Play i reklamy

Jednym z bardziej znanych ataków w Google Play był Android/Feabme – facebookowy phishing, znaleziony w 2015 roku, obecny w popularnych grach. Niektóre z nich zostały zainstalowane nawet milion razy podczas 2 miesięcy obecności w sklepie. Wykradzione dane logowania można wykorzystać w kolejnych atakach, na przykład rozsyłając linki do szkodliwych plików znajomym ofiar.

Największą kampanią, przeprowadzoną w Google Play i analizowaną przez Eseta, był Android/Clicker. Szkodliwe aplikacje były dostępne w sklepie przez 7 miesięcy i zostały zainstalowane ponad 800 tysięcy razy. W większości były to kopie dobrze znanych gier – Minecrafta, Subway Surfers, My Talking Tom i kilku innych, ale nie spełniały one żadnej funkcji. Codziennie infekowanych było około 3600 użytkowników. W tym czasie atakującym udało się przeprowadzić 343 skuteczne ataki. Zadaniem tych aplikacji było po prostu klikanie w tle na aplikacje i generowanie w ten sposób zysków dla autorów.

Kampania Android/Clicker trwa już prawie dwa lata, zmieniają się tylko aplikacje będące jej częścią. Lukas Stefanko w 2018 roku znalazł już ponad 20 aplikacji, pochodzących od różnych autorów, które zachowują się w ten sposób, W sumie zostały pobrane prawie pół miliona razy, a niektóre z nich mają całkiem niezle oceny.

Nie tylko koparki kryptowalut

Od ubiegłego roku sporo mówi się o inwestycjach w kryptowaluty i także one doczekały się własnych zagrożeń w Google Play. Można trafić na przykład na portfele kryptowalut, w których tak naprawdę klucze do nowego portfela nie są generowane przy tworzeniu go. Aplikacja cały ten proces udaje, a klucz portfela jest zakodowany na stałe. Jest to oczywiście publiczny klucz portfela autora aplikacji, więc wszystkie przelewy trafią do niego. Popularne są także aplikacje podszywające się pod giełdy kryptowalut, zwłaszcza takie, które nie dostarczają własnej aplikacji. Na początku roku można było znaleźć kilkanaście aplikacji giełdy Poloniex, które wykradały dane logowania do kont. W przykładzie prezentowanym przez Lukasa nie minęło 20 minut, by na jego konto zalogował się ktoś z Ukrainy (jego logowania pochodzą ze Słowacji), komu aplikacja wysłała dane.

[1/2]
[2/2]

Koparki kryptowalut są najpopularniejszym zagrożeniem, związanym z cyfrowymi dobrami. Wśród aplikacji, które bez naszej wiedzy obliczają kolejne bloki, możemy spotkać takie, które wykorzystują skrypty Coinhive do kopania Monero albo mają wbudowaną odpowiednią bibliotekę. Google walczy z takimi aplikacjami, ale wciąż pojawiają się nowe, podszywające się pod proste gry czy narzędzia.

Ludzie to pobierają!?

Z Lukasem Stefanko miałam też okazję porozmawiać o aplikacjach, które znajdują się w Google Play, ale w ogóle nie powinny istnieć. Specjalista wydawał się zachwycony pomysłem na aplikację udającą wentylator albo odstraszającą komarzyce ultradźwiękami. Podczas swoich badań znalazł też wspaniale przygotowaną aplikację, będącą uniwersalnym pilotem do każdego klimatyzatora. Aplikacja łączy się z urządzeniem za drugim lub trzecim razem i nawet udaje, że naprawdę nim steruje… to oczywiście prosta symulacja, a prawdziwy klimatyzator pracuje po staremu.

Pierwsze miejsce na liście aplikacji do usunięcia zdaniem Lukasa zajmuje… Flash Player. Wtyczka do przeglądarek jest od lat niedostępna dla Androida, ale w sklepie znajdziemy kilkadziesiąt zamienników i aplikacji towarzyszących. Seks też można łatwo sprzedać – wystarczy wystawić do czatu bota i czekać, aż rozmówcy będą gotowi zapłacić za możliwość dalszej rozmowy.

[1/2]
[2/2]

Osobny krąg w piekle powinien być zarezerwowany dla tych, którzy dopuścili do Google Play aplikacje dodające kartę pamięci, więcej RAM-u albo naprawiające akumulator.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na