Кодове за злонамерен софтуер, открити зад всяко приложение в алтернативния магазин на Android

блог

Изследователите на ESET установиха, че CepKutusu.com, турски алтернативен магазин за приложения за Android, разпространява злонамерен софтуер, скрит зад всички предлагани приложения за Android.

Когато потребителите разгледаха турския алтернативен магазин CepKutusu.com и изтеглиха приложение, бутонът „Изтегли сега“ доведе до банков зловреден софтуер вместо до желаното приложение. Няколко седмици след като следователите на ESET се обадиха на оператора на магазина с откриването на атаката, магазинът спря злонамерена дейност.

Интересното е, че въпреки че изследователите на ESET откриха, че грешната посока от легитимно приложение към злонамерено е общо - което означава, че всяко приложение е заменено с банков зловреден софтуер, операторите зад кампанията добавят изключение. Вероятно за да увеличат шанса да останат по-дълго присъстващи, те въведоха седемдневен прозорец, в който да не предлагат зловреден софтуер след злонамерено изтегляне. На практика, след като потребителят изтегли заразеното приложение, се задава бисквитка, за да се предотврати преобладаването на злонамерена система, което води до получаване на чисти връзки за следващите седем дни. След този период потребителят получава пренасочване към злонамерен софтуер, след като се опита да изтегли всяко приложение от магазина.

Злонамереното приложение, разпространявано от магазина по време на разследването, е дистанционно контролиран банков зловреден софтуер, способен да прихваща и изпраща SMS, да показва фалшива активност и да изтегля и инсталира други приложения.

Когато е инсталиран, зловредният софтуер не възпроизвежда приложението, което потребителят възнамерява да инсталира. Вместо това имитира Flash Player.

блог

Фигура 1 - Злонамерено приложение, подадено на потребител, който смята, че изтегля играта Clash of Clans и легитимната игра, предлагана на същия потребител в рамките на седем дни

За да научим повече за тази атака и нейните по-широки последици, се обърнахме към Lukáš Štefanko, изследовател на зловреден софтуер на ESET, който е специализиран в Android зловреден софтуер и който е открил магазина за приложения за разпространение на зловреден софтуер. преписано по-долу.

Магазин за приложения, който предлага на своите клиенти масов зловреден софтуер - това изглежда е основна заплаха. От друга страна, обслужването на Flash Player вместо всяко приложение би искало клиенти - това е доста малка маскировка. Какво е вашето мнение?

Първо, нека кажа, че за първи път виждам цял пазар на Android, заразен по този начин. В екосистемата на Windows и в браузърите е известно, че тази техника се използва от известно време, но в екосистемата на Android тя наистина е нов вектор на атака.

По отношение на въздействието това, което видяхме в този случай, вероятно беше тест. Операторите злоупотребяват с контрола върху магазина за приложения. Замяната на връзки от всички приложения с връзка към едно злонамерено приложение не изисква много усилия - но също така дава на клиентите на магазина реален шанс да открият тази измама. Ако сте били привлечени да изтеглите популярна игра и сте стигнали до заключението, че сте останали с Flash Player. Мисля, че бихте го деинсталирали незабавно и бихте докладвали за проблема, не?

Това може да обясни защо са установени само няколкостотин инфекции.

От тази гледна точка не изглежда много.

Е, както казах, вероятно беше тест. Мога да си представя сценарий, при който престъпниците, които контролират задкулисието на магазина, добавят злонамерена функционалност към всяко приложение в магазина. Предлагане на тези, които се интересуват от конкретна игра, троянизирана версия на играта. това би било важен тревожен фактор и броят на жертвите може да се увеличи значително.

Що се отнася до приписването на тази атака - намерихте улики?

Има три възможни сценария: магазин за приложения, изграден с цел разпространение на злонамерен софтуер, легитимен магазин за приложения е станал злонамерен поради злонамерен служител и легитимен магазин за приложения е станал жертва на отдалечен нападател.

Що се отнася до втория и третия сценарий, бих считал, че подобна атака няма да остане незабелязана от легитимен магазин. Жалбите на потребителите, подозрителните регистрационни файлове на сървъра и промените в кода трябва да бъдат достатъчни показатели за операторите. особено след като зловредният софтуер се разпространява в магазина от няколко седмици. Също така, поради интереса в това отношение, ние се свързахме с операторите на магазини с нашите констатации, но не получихме никаква реакция.

Как да се предпазите

Препоръки от Lukáš Štefanko от ESET:

  • Ако е възможно, винаги избирайте да изтегляте приложения от официалните магазини за приложения.
    Този съвет се повтаря безкрайно по основателна причина - няма гаранция за мерки за сигурност в алтернативните магазини за приложения, което ги прави чудесно място за авторите на зловреден софтуер да разпространяват своята „работа“ не само чрез лоши приложения. умишлено, но и масово, както е илюстрирано в случая.
  • Бъдете внимателни, когато изтегляте съдържание от интернет. Обърнете внимание на всичко подозрително, наблюдавано в името на файла, неговия размер или разширение - тук могат да бъдат разпознати и избегнати много заплахи предварително.
  • Използвайте надеждно решение за мобилна сигурност, за да се предпазите от най-новите заплахи. По отношение на скритата заплаха в алтернативния магазин за приложения, ESET го откри като Android/Spy.Banker.IE и предотвратява изтеглянето му.

ПЕТЪР СТАНЧИК
НЕЗАВИСИМ КОРЕСПОНДЕНТ