Блог на ЕСЕТ Романија

блог

Истражувачите на ESET откриле дека CepKutusu.com, турска алтернативна продавница за апликации за Android, шири малициозен софтвер скриен зад сите понудени апликации за Android.

Кога корисниците ја прелистуваа турската алтернативна продавница CepKutusu.com и преземаа апликација, копчето „Преземи сега“ доведе до банкарски малициозен софтвер наместо посакуваната апликација. Неколку недели откако истражувачите на ЕСЕТ го повикаа операторот на продавницата со откривањето на нападот, продавницата престана со злонамерна активност.

Интересно, иако истражувачите на ESET откриле дека погрешната насока од легитимна апликација кон злонамерна е општа - што значи дека секоја апликација била заменета со банкарски малициозен софтвер, операторите кои стојат зад кампањата додадоа исклучок. Веројатно за да ја зголемат можноста да останат присутни подолго, тие воведоа седумдневен прозорец во кој не може да се нуди малициозен софтвер по злонамерно преземање. Во пракса, откако корисникот ќе ја преземе заразената апликација, се поставува колаче за да се спречи преовладувањето на малициозен систем, што доведува до тоа корисникот да добие чисти врски во следните седум дена. По овој период, корисникот добива пренасочување кон малициозен софтвер откако ќе се обиде да преземе која било апликација од продавницата.

Злонамерната апликација дистрибуирана од продавницата за време на истрагата беше далечински контролиран банкарски малициозен софтвер, способен да пресретнува и испраќа СМС, да прикажува лажна активност и да презема и инсталира други апликации.

Кога е инсталиран, малициозен софтвер не ја репродуцира апликацијата што корисникот има намера да ја инсталира. Наместо тоа, тој имитира Flash Player.

романија

Слика 1 - Злонамерна апликација служена на корисник кој мисли дека ја презема играта на Судир на кланови и легитимна игра понудена на истиот корисник во рок од седум дена

За да дознаеме повеќе за овој напад и неговите пошироки импликации, се обративме до Лукаш Штефанко, истражувач за малициозен софтвер во ESET, специјализиран за малициозен софтвер Андроид и кој ја откри продавницата за апликации за дистрибуција на малициозен софтвер. транскрибирани подолу.

Продавница за апликации што им нуди на своите клиенти масовен малициозен софтвер - се чини дека ова е голема закана. Од друга страна, услугата Flash Player наместо каква било апликација би сакала клиенти - тоа е прилично мала маска. какво е Вашето мислење?

Како прво, дозволете ми да кажам дека ова е прв пат да видам каков пазар на Андроид е заразен на овој начин. Во екосистемот на Виндоус и во прелистувачите е познато дека оваа техника се користи веќе некое време, но во екосистемот Андроид, таа навистина е нов вектор на напад.

Во однос на влијанието, она што го видовме во овој случај веројатно беше тест. Операторите злоупотребиле контрола врз продавницата за апликации. Замена на врските од сите апликации со врска до единствена малициозна апликација не бара многу напор - но исто така им дава реална шанса на клиентите во продавниците да ја забележат оваа измама. Ако ве привлече да преземете популарна игра и дојдете до заклучок дека сте заглавиле со Flash Player. Мислам дека веднаш ќе го деинсталиравте и ќе го пријавите проблемот, не?

Ова може да објасни зошто се идентификувани само неколку стотици инфекции.

Од оваа гледна точка, не изгледа многу.

Па, како што реков, веројатно беше тест. Можам да замислам сценарио во кое криминалците кои контролираат зад сцената на продавницата додаваат злонамерна функционалност на секоја апликација во продавницата. Нудејќи им на заинтересираните за одредена игра тројанизирана верзија на играта. ова би бил важен алармантен фактор, а бројот на жртви може значително да се зголеми.

Што се однесува до припишувањето на овој напад - најдовте траги?

Постојат три можни сценарија: продавница за апликации изградена со намера да шири малициозен софтвер, легитимна продавница за апликации стана злонамерна поради злонамерен вработен и легитимна продавница за апликации стана жртва на далечински напаѓач.

Во однос на второто и третото сценарио, би сметал дека таквиот напад нема да остане незабележан од легитимна продавница. Поплаките на корисниците, сомнителните дневници на серверот и промените на кодот треба да бидат доволни индикатори за неговите оператори. особено затоа што малициозниот софтвер се дистрибуира во продавницата неколку недели. Исто така, поради интересот во врска со ова, контактиравме со операторите на продавниците со наодите, но не добивме никаква реакција.

Како да се заштитите

Препораки од Лукаш Штефанко од ЕСЕТ:

  • Ако е можно, секогаш изберете да преземате апликации од официјалните продавници за апликации.
    Овој совет се повторува на неодредено време од добра причина - нема гаранција за безбедносни мерки во алтернативните продавници за апликации, што ги прави одлично место за авторите на малициозен софтвер да ја шират својата „работа“ не само преку малициозни апликации. намерно, но и масовно, како што е илустрирано во овој случај.
  • Бидете внимателни кога преземате содржина од Интернет. Обрнете внимание на што било сомнително забележано во името на датотеката, нејзината големина или нејзиното проширување - ова е местото каде што многу закани можат да се препознаат и да се избегнат однапред.
  • Користете сигурно решение за безбедност на мобилната телефонија за да се заштитите од најновите закани. Во врска со скриената закана во продавницата за алтернативни апликации, ESET го откри како Android/Spy.Banker.IE и го спречува неговото преземање.

ПЕТЕР СТАНЧИК
НЕЗАВИСНО КОРЕСПОНДЕНТ