Sklep Play Google: trojan ukryty w aplikacji. Czyściła konta bankowe zamiast smartfona
Zespół PREBYTES Security Incident Response Team wykrył w Sklepie Play aplikację, której zainstalowanie mogło doprowadzić do pobrania niebezpiecznego malware Cerberus. Autorzy w sprytny sposób maskowali złośliwe oprogramowanie. Na szczęście statystyka pobrań wynosi tylko "powyżej 10 tysięcy".
Złośliwe oprogramowanie z rodziny Cerberus pojawia się w schematach ataku polegających na phishingu. Oszuści próbują przekonać ofiary do zainstalowania oprogramowania przesłanego za pomocą wiadomości SMS lub e-mail. Zwykle podszywają się pod duże, znane marki. Niekiedy takie złośliwe oprogramowanie kryje się też w aplikacjach pobieranych z niezweryfikowanych źródeł.
Cerberus w Sklepie Play Google? Nieprawdopodobne, a jednak
Odkąd Google wprowadził PlayProtect, a także prowadzi własny program nagród za wykrywanie złośliwych aplikacji, ilość malware zdecydowanie spadła. Dzięki lepszym zabezpieczeniom, większość z nich praktycznie nie trafia do marketu. Jednak jak widać niektórym programom udaje się ominąć bramki Google'a.
Takim przykładem jest właśnie Best Cleaner. Jak można się domyślić po jej nazwie, aplikacja ma służyć jako narzędzie do oczyszczania smartfona, przyśpieszania jego pracy itp. Program wymagał od użytkownika zgody na dostęp do zdjęć, multimediów, plików na telefonie oraz na nawiązywanie połączeń telefonicznych. Jeśli ofiara nie wyraziła zgody, to nie mogła korzystać z aplikacji.
Po uruchomieniu aplikacji i kliknięciu Rozpocznij czyszczenie zaczynała się atak. W tym momencie użytkownikowi smartfona wyskakiwał komunikat z prośbą o zainstalowanie dodatkowej "wtyczki". Aby to zrobić, aplikacja wymagała, aby w ustawieniach urządzenia włączyć opcję "zezwalaj na instalację z nieznanych źródeł".
Faza druga – atak z wykorzystaniem Cerberusa
Następnie Best Cleaner rozpoczyna pobieranie i instalację Bestcleaner. Nie jest to żadna wtyczka, czy "dodatkowa biblioteka" - jak opisano to w aplikacji, a złośliwe oprogramowanie typu Cerberus. Po zainstalowaniu, aplikacja żąda o dostęp do Bestcleaner activation, chociaż w rzeczywistości jest to zapytanie o dostęp do funkcji "ułatwienia dostępu", co następnie pozwala na dodanie się jako administrator urządzenia.
Następnie aplikacja działa w tle i wyszukuje aplikacje bankowe. Jeśli użytkownik spróbuje zalogować się do banku, to nad programem wyświetli się nakładka imitująca oryginalny panel logowania. Jeśli ofiara wpisze login i hasło, to informacje natychmiast trafią do cyberprzestępców. Potwierdzenie kodem SMS nie pomoże, ponieważ jeśli wiadomość dotrze na ten sam smartfon, to atakujący również uzyskają do niej dostęp. Cerberus jest w stanie rozpoznać aplikację każdego banku dostępnego w Polsce, ale i większości na całym świecie.
Aplikacja zniknęła już ze Sklepu Play Google'a. W okresie aktywności od 9 kwietnia 2020 roku do czerwca pobrano ją ponad 10 tysięcy razy. Co więcej, aplikacja była reklamowana na niektóre hasła związane z czyszczeniem urządzenia, więc można było uznać ją za prawdziwą. Przestępcy zadbali także o aktualizowania aplikacji i wystawianie jej fałszywych recenzji, aby zwiększyć wiarygodność.
