Fałszywy sklep, aplikacje i aktualizacje – nowa metoda atakowania Androida
Eksperci z firmy Dagma ostrzegają użytkowników Androida przed nietypowymi metodami atakowania smartfonów. Za przykład służy grupa APT-C-23, która jest aktywna przynajmniej od 2017 roku i stosuje kilka elementów jednocześnie, by wzbudzić zaufanie użytkowników: fałszywy sklep z aplikacjami, a w nim podrobione wersje znanych programy i później ich aktualizacje.
Jak się okazuje, od kwietnia bieżącego roku grupa stosuje zmodyfikowaną wersję oprogramowania szpiegującego, którym infekuje smartfony. Jest na tyle zaawansowane, że pozwala śledzić aktywność na kilka sposobów. Wśród nich nagrywanie zawartości ekranu, odczytywanie historii połączeń oraz dostęp do powiadomień. Co ciekawe, oprogramowanie jest nawet zdolne do ukrywania powiadomień innych aplikacji, więc użytkownicy stosujący jakiś rodzaj dodatkowego zabezpieczenia wykrywającego podejrzane działania programów, mogą nie zostać powiadomieni na czas.
O ile jednak same możliwości szkodliwego oprogramowania nie są szczególnie zaskakujące, tak sposób infekowania smartfonów jest nietypowy. Atakujący w tym przypadku tworzą bowiem rozbudowane środowisko, które na wielu etapach może utwierdzać użytkownika w przekonaniu, że ma do czynienia z oficjalnymi aplikacjami. Oszuści oferują bowiem swoje zainfekowane wersje programów w fałszywym sklepie z aplikacjami na Androida, który początkującym użytkownikom smartfonów może się wydać autentyczny.
ESET podaje, że wśród zidentyfikowanych próbek znalazła się między innymi fałszywa wersja komunikatora Telegram oraz moduł aktualizacji systemu Android. Co ciekawe, we wspomnianym fałszywym sklepie, linki do zainfekowanych programów wymieszane są z łączami do autentycznych i bezpiecznych wersji aplikacji. Jak oceniają badacze, chodzi najpewniej o uśpienie czujności użytkowników.
Aby infekcja okazała się skuteczne, podczas instalacji użytkownik musi nadać aplikacji konkretne uprawnienia. Twórcy sprytnie przygotowują swoje wersje aplikacji sugerując na przykład, że dostęp do powiadomień jest niezbędny do poprawnego przeprowadzania szyfrowanej komunikacji (choćby w przypadku Telegramu). Oczywiście w rzeczywistości nie jest to prawdą i nadając aplikacji wybrane uprawnienia, użytkownik nieświadomie daje oszustom dostęp do swoich danych.
Jak łatwo sobie wyobrazić, zainfekowany smartfon to źródło dalszych problemów. Na tym etapie oszuści mogą instalować w nim dowolne inne oprogramowanie i przeglądać jego zawartość. Możliwość przechwytywania zawartości ekranu to także otwarta droga do uzyskania prywatnych informacji nieświadomej ofiary. Taki mechanizm może nawet zostać wykorzystany podczas próby kradzieży środków z internetowego konta bankowego – na przykład do odczytywania SMS-ów autoryzacyjnych.
