Znów złośliwe aplikacje w Google Play – trudno ten sklep uznać za „zaufane źródło”
Podobno najlepszym sposobem na uniknięcie zagrożeń ze stronyzłośliwego oprogramowania na Androidzie jest „pobieranieaplikacji tylko z oficjalnego sklepu Play”. Ten slogan przewija sięprzez niemal każdy poradnik bezpieczeństwa dla urządzeńmobilnych. W rzeczywistości bywa różnie. Na blogu SecuringTomorrow inżynierowie Intela piszą o odkrytej przez siebie całejrodzinie aplikacji mobilnych, których głównym zadaniem byłowykradanie haseł użytkownika. Wszystkie aplikacje były oficjalnierozpowszechniane przez Google’a, właśnie w sklepie Play.
Atak był bardzo dobrze dopracowany od strony inżynieriispołecznej. Celem byli użytkownicy z Turcji, korzystający zserwisu Instagram. Aplikacje opisano jako narzędzia do analizydostępu i automatyzacji śledzenia kont na Instagramie, mającepozwolić użytkownikom na zwiększenie popularności ich własnychkont. Biorąc pod uwagę popularność serwisu w Turcji, szczególniewśród młodych, poszukujących atencji dziewcząt, możnapowiedzieć, że sprofilowanie ataku było znakomite.
Wszystkie aplikacje były oczywiście darmowe, wszystkie ocenione,większość miała przynajmniej cztery gwiazdki, w komentarzachznajdowały się pozytywne opinie – nic tylko instalować. Jednakpo uruchomieniu, aplikacja nic z obiecanych rzeczy nie robiła,prowadząc jedynie na stronę phishingową, wyświetlaną przezkomponent WebView Androida. Formularz proszący o login i hasłoInstagrama w aplikacjach mających ulepszyć korzystanie z tegoserwisu nikogo nie dziwił, więc pewnie niejedna osoba swoje dane wten sposób wpisała.
Napastnicy nawet nie postarali się o zaszyfrowanie połączeniaze swoją stroną phishingową, każdy podsłuchujący połączeniesieciowe też mógł przechwycić wysłane w jawnej postaci login ihasło. Biorąc pod uwagę to, że wiele osób używa tego samegohasła do wielu różnych serwisów, wykradzione dane mogły byćznacznie więcej warte.
Co ciekawe, i w tym wypadku Intel Security zaleca zainstalowanieantywirusa na smartfonie… oraz nie ufanie aplikacjom pobranym znieznanych źródeł. Naprawdę? Czy to już jest taka sztampowafraza, wklejana do każdego tekstu o złośliwym oprogramowaniu naurządzenia mobilne? W tym wypadku złośliwe aplikacje, rozpoznawaneprzez antywirusy jako Android/InstaZuna, były przecież do pobraniaze znanego, domyślnie zaufanego źródła – sklepu Google Play.
Google usunęło oczywiście wspomniane aplikacje ze swojegosklepu, jednak sądząc po komentarzach tureckich użytkowników, wPlay były one dostępne przez kilka tygodni. I trudno tu sięczemukolwiek dziwić – idąc na ilość, Google gotowe jest doswojego sklepu wpuścić chyba wszystko, nie trzeba stosować żadnychskomplikowanych technik programistycznych, żadnego polimorficznegokodu.
Dobrze o tym świadczy przykład z zeszłego roku, kiedy to zespółbadaczy firmy Check Point odkrył w Google Play ponad 40 aplikacjidla dzieci przenoszących szkodnika oznaczonego jako jako DressCode.Aplikacje te zostały wszystkie wgrane do sklepu w kwietniu i łączniemogły zostać pobrane nawet 2 mln razy do sierpnia, kiedy to jeusunięto. Zapewne to wszystko wina tych małych dziewczynek, którezamieniały swoje smartfony i tablety w końcówki botnetu, po prostupobierając gierkę do ubierania laleczek w różne stroje. Zapewnezanim otrzymały urządzenie z Androidem powinny wcześniej przejśćco najmniej dwutygodniowy kurs z zakresu zwalczania malware imonitorowania ruchu sieciowego.
