13/10/2016

400 trojanów w sklepie Google Play

Technologie Zagrożenia

Użytkownikom platformy Android często radzimy, aby pobierali aplikacje tylko z oficjalnych sklepów. Wyszukiwanie aplikacji w sklepie Google Play jest znacznie bezpieczniejsze, ponieważ przechodzą one wiele rygorystycznych kontroli i etapów zatwierdzania, zanim zostaną tam udostępnione.

Jednak czasami do sklepu Google Play przedostają się jakieś wyjątki. W ostatnim incydencie, który miał ogromny zasięg, okazało się, że ponad 400 aplikacji znajdujących się w sklepie Google Play (i niemal 3 000 w innych sklepach z aplikacjami) było zainfekowanych trojanem DressCode.

dresscode-trojan-featured

Zabawna nazwa szkodliwego programu została nadana w oparciu o pierwsze wykrycie go przez badaczy w sierpniu 2016 r.: był dołączony do wielu aplikacji związanych z doborem ubrań, przeznaczonych głównie dla dziewcząt.

Według szacunków jedna z takich gier została pobrana z Google Play od 100 tys. do 500 000 razy. Ponadto okazało się, że tym samym trojanem zarażone były także inne aplikacje. Ogólnie wykryto wtedy ponad 400 zainfekowanych aplikacji, z czego około 40 było oferowane w sklepie Google Play. Badacze poinformowali o tym fakcie firmę Google, która usunęła je ze sklepu. Lecz to był dopiero wierzchołek góry lodowej…

Wśród szkodliwych aplikacji było wiele tych, które obiecywało przyspieszenie wydajności, optymalizację, a także inne „przydatne” narzędzia.

Wówczas trojanem zaczęła interesować się inna grupa badaczy, którzy postanowili przyjrzeć się temu zagrożeniu dokładniej i sprawdzili inne sklepy. Kilka dni temu zespół ten wykrył w jednym badaniu około 3 000 aplikacji zainfekowanych DressCode, a ponad 400 z nich znajdowało się w sklepie Google Play.

Większość aplikacji to gry lub aplikacje powiązane z grami — np. aplikacje z poradami dla graczy i modyfikacje gier. Wśród szkodliwych aplikacji było wiele tych, które obiecywało przyspieszenie wydajności, optymalizację, a także inne „przydatne” narzędzia.

W przypadku trojana DressCode najgorsze jest to, że niełatwo go wykryć. Jego kod jest dosyć mały w porównaniu z kodem programu, do którego został dołączony. Prawdopodobnie to dlatego wiele zainfekowanych aplikacji pomyślnie przeszło proces zatwierdzania w Google i w Google Play.

Co robi trojan DressCode?

Ogólnie jedynym celem DressCode’a było nawiązanie połączenia z serwerem poleceń. Następnie serwer wysyłał do trojana polecenie, aby się uśpił, przez co natychmiastowe wykrycie go było niemożliwe. Gdy atakujący zdecydował się użyć zainfekowanego urządzenia, mógł obudzić trojana, czyniąc ze smartfona lub tabletu serwer proxy, i użyć go do przekierowywania ruchu internetowego.

Na czym zarabiają oszuści?

Po pierwsze, zainfekowane urządzenia mogą zostać użyte jako część botnetu do tunelowania żądań do pewnych adresów IP. Metoda ta umożliwia cyberprzestępcom zwiększenie ruchu, generowanie kliknięć banerów lub płatnych adresów URL, a także organizowanie ataków DDoS w celu odcięcia od internetu atakowanych stron.

Po drugie, zainfekowane urządzenia (np. firmowe smartfony) mogą łączyć się z niektórymi zasobami sieci lokalnych, więc atakujący uzyskują do nich dostęp. Co więcej, mogą oni używać zainfekowanego urządzenia do kradzieży wrażliwych danych.

Jak nie stać się częścią botnetu?

Jest to bardzie rzadki przypadek, gdy nasza czołowa porada — aby pobierać aplikacje tylko z oficjalnych sklepów — nie wystarczy. To prawda, Google Play cieszy sie znacznie niższym współczynnikiem występowania szkodliwych programów w porównaniu z innymi sklepami z aplikacjami dla Androida, ale wyrycie 400 zainfekowanych aplikacji w jednym badaniu to naprawdę dużo. Warto wiedzieć, że wśród nich znajduje się wiele popularnych tematów, takich jak tryb „GTA 5” Minecrafta (tak, on naprawdę istnieje), która została pobrana ponad 500 000 razy.

Zatem naszą tradycyjną listę zaleceń skrócimy do dwóch punktów:

  1. Pobierając aplikację, zachowaj ostrożność. Przed zainstalowaniem nieznanej aplikacji sprawdź krytyczne opinie użytkowników, przejrzyj listę jej uprawnień i przemyśl ją. Niestety nie możesz ufać wszystkim opiniom w Google Play, ale mogą Ci one dać zarys aplikacji.
  2. Zainstaluj na swoich urządzeniach mobilnych produkt zabezpieczający. Kaspersky Antivirus & Security for Androidwykrywa zagrożenie DressCode jako HEUR:Backdoor.AndroidOS.Sobot.a. Wersja płatna naszego pakietu ochronnego automatycznie skanuje wszystkie nowe aplikacje i blokuje wszelkie narzędzia zawierające DressCode przed przedostaniem się na Twoje urządzenie. Jeśli zdecydujesz się na wersję darmową, nie zapominaj o regularnym uruchamianiu skanowania urządzenia.