Blog spoločnosti ESET v Rumunsku

eset

Vedci z ESET-u zistili, že turecký alternatívny obchod s aplikáciami pre Android CepKutusu.com šíri malware skrytý za všetkými ponúkanými aplikáciami pre Android.

Keď používatelia prehľadali turecký alternatívny obchod CepKutusu.com a stiahli si aplikáciu, tlačidlo „Prevziať teraz“ viedlo namiesto požadovanej aplikácie k bankovému malvéru. Niekoľko týždňov potom, čo vyšetrovatelia spoločnosti ESET zavolali operátorovi obchodu so zistením útoku, obchod zastavil škodlivú činnosť.

Je zaujímavé, že hoci vedci z ESET-u zistili, že nesprávny smer od legitímnej aplikácie k škodlivej je všeobecný - to znamená, že každá aplikácia bola nahradená bankovým malvérom, operátori za kampaňou pridali výnimku. Pravdepodobne kvôli zvýšeniu šance zostať dlhšie prítomní zaviedli sedemdňové okno, v ktorom po škodlivom stiahnutí neponúka malvér. V praxi sa po stiahnutí infikovanej aplikácie používateľom nastaví súbor cookie, ktorý zabráni prevahe škodlivého systému, čo vedie k tomu, že používateľ bude nasledujúcich sedem dní dostávať čisté odkazy. Po uplynutí tejto doby dostane používateľ po pokuse o stiahnutie akejkoľvek aplikácie z obchodu presmerovanie na malware.

Škodlivou aplikáciou distribuovanou obchodom v čase vyšetrovania bol diaľkovo riadený bankový malvér schopný zachytávať a odosielať SMS, zobrazovať falošnú aktivitu a sťahovať a inštalovať ďalšie aplikácie.

Po nainštalovaní malware nespustí aplikáciu, ktorú chce používateľ nainštalovať. Namiesto toho imituje Flash Player.

rumunsku

Obrázok 1 - Škodlivá aplikácia doručená používateľovi, ktorý si myslí, že sťahuje hru Clash of Clans a legitímnu hru ponúkanú tomu istému používateľovi do siedmich dní

Ak sa chcete dozvedieť viac informácií o tomto útoku a jeho širších dopadoch, obrátili sme sa na Lukáša Štefanka, výskumníka malvéru v spoločnosti ESET, ktorý sa špecializuje na malvér pre Android a objavil obchod s aplikáciami na distribúciu malvéru. prepísané nižšie.

Obchod s aplikáciami, ktorý zákazníkom ponúka hromadný malware - to sa javí ako veľká hrozba. Na druhej strane, poskytovanie aplikácie Flash Player namiesto akejkoľvek aplikácie by vyžadovalo zákazníkov - je to dosť malé maskovanie. Aký je váš názor?

Najskôr mi dovoľte povedať, že je to prvýkrát, čo vidím celý takto infikovaný celý trh Android. V ekosystéme Windows a v prehliadačoch je táto technika známa už nejaký čas, ale v ekosystéme Android je to skutočne nový vektor útoku.

Čo sa týka dopadu, to, čo sme videli v tomto prípade, bol pravdepodobne test. Prevádzkovatelia zneužili kontrolu nad obchodom s aplikáciami. Nahradenie odkazov zo všetkých aplikácií odkazom na jednu škodlivú aplikáciu nevyžaduje veľké úsilie - poskytuje však zákazníkom obchodu skutočnú šancu tento podvod odhaliť. Ak vás prilákalo stiahnutie populárnej hry a dospeli ste k záveru, že ste uviazli v aplikácii Flash Player. Myslím, že by ste to okamžite odinštalovali a nahlásili problém, nie?

To by mohlo vysvetliť, prečo bolo identifikovaných iba niekoľko stoviek infekcií.

Z tohto pohľadu sa to nezdá veľa.

No, ako som povedal, pravdepodobne to bol test. Viem si predstaviť scenár, v ktorom zločinci, ktorí ovládajú zákulisie obchodu, pridávajú škodlivú funkčnosť každej aplikácii v obchode. Ponúka záujemcom o konkrétnu hru trójsku verziu hry. to by bol dôležitý alarmujúci faktor a počet obetí by sa mohol výrazne zvýšiť.

Pokiaľ ide o pripísanie tohto útoku - našli ste indície?

Existujú tri možné scenáre: obchod s aplikáciami vybudovaný so zámerom šíriť škodlivý softvér, legitímny obchod s aplikáciami sa stal škodlivým z dôvodu škodlivého zamestnanca a legitímny obchod s aplikáciami sa stal obeťou vzdialeného útočníka.

Pokiaľ ide o druhý a tretí scenár, domnieval by som sa, že takýto útok nezostane bez povšimnutia legitímneho obchodu. Sťažnosti používateľov, podozrivé protokoly serverov a zmeny kódu by mali byť dostatočnými indikátormi pre jeho operátorov. najmä preto, že malvér bol v obchode distribuovaný niekoľko týždňov. Aj kvôli záujmu v tejto súvislosti sme s našimi zisteniami kontaktovali prevádzkovateľov obchodov, avšak nedostali sme nijakú reakciu.

Ako sa chrániť

Odporúčania od Lukáša Štefanka z ESETu:

  • Ak je to možné, vždy sa rozhodnite sťahovať aplikácie z oficiálnych obchodov s aplikáciami.
    Táto rada sa z dobrého dôvodu opakuje na neurčito - neexistuje záruka bezpečnostných opatrení v alternatívnych obchodoch s aplikáciami, čo z nich robí vynikajúce miesto pre autorov škodlivého softvéru pri šírení ich „práce“ nielen prostredníctvom zlých aplikácií. zámerne, ale aj hromadne, ako to ilustruje tento prípad.
  • Pri sťahovaní obsahu z internetu buďte opatrní. Venujte pozornosť všetkému, čo je podozrivé v názve súboru, jeho veľkosti alebo prípone - to je miesto, kde je možné vopred rozpoznať a vyhnúť sa mnohým hrozbám.
  • Použite spoľahlivé mobilné bezpečnostné riešenie, aby ste sa chránili pred najnovšími hrozbami. Pokiaľ ide o skrytú hrozbu v alternatívnom obchode s aplikáciami, ESET ju zistil ako Android/Spy.Banker.IE a zabráni jej stiahnutiu.

PETER STANČÍK
NEZÁVISLÝ KORESPONDENT