Co musi zrobić szpieg, jeśli chce uzyskać informacje o swojej ofierze? Musi zorganizować całodobową inwigilację, która obejmie wielu ludzi, potajemnie zainstalować ukryte kamery i mikrofony lub nawet ukraść smartfona danej osoby (i oczywiście hasło do niego). Jednak teraz wszystkie takie informacje może zdobyć w o wiele prostszy sposób: trzeba tylko udostępnić darmową grę na urządzenia mobilne i poczekać, aż zainstaluje ją ofiara. I niestety – nie przesadzam. Jedna niepozorna aplikacja na smartfona może dostarczyć przestępcy wiele informacji o danej osobie. Chcesz dowodów? Mają je specjaliści z Kaspersky Lab.
Eksperymentalna aplikacja – gra w kółko i krzyżyk dla Androida – może Cię szpiegować, czytać Twoje SMS-y i e-maile
Tweet
Gra w kółko i krzyżyk to prosta, łatwa do wyszukania gra dla urządzeń z Androidem. Ale tak jak nie powinno się oceniać książki po okładce, tak nie wolno myśleć, że ta aplikacja to tylko gra i nic więcej. W rzeczywistości gra w kółko i krzyżyk to próba pomysłu narzędzia szpiegującego, które wykorzystuje trojana Gomal. Może on kraść dane prywatne, nagrywać głos właściciela smartfonu, a nawet czytać wiadomości SMS i e-maile przechowywane na urządzeniu. Co ważniejsze, jest to możliwe zarówno w aplikacji eksperymentalnej, jak i w realnym świecie – gdy nieuważny użytkownik zgodzi się na wszystko, czego wymaga szkodliwe oprogramowanie.
Wspomniana gra w kółko i krzyżyk wymaga szerszego zakresu dostępu niż normalna gra, jej lista uprawnień jest zadziwiająca. Na przykład wymaga dostępu do internetu, kontaktów użytkownika i archiwum SMS-ów, a także chce mieć możliwość przetwarzania połączeń i nagrywania dźwięków. Jakie są skutki, można się domyśleć: po tym, jak użytkownik zainstaluje i uruchomi grę, trojan podróżuje po całym smartfonie, włącznie z jego pamięcią, wykorzystując exploita do uzyskania uprawnień administratora.
Umożliwia to nie tylko kradzież wiadomości SMS oraz danych osobistych, ale także czytanie poczty poprzez aplikację zwaną Good for Enterprise, jeśli jest zainstalowana na smartfonie. Jest to bezpieczny klient pocztowy przeznaczony do użytku korporacyjnego, więc kradzież danych za jego pośrednictwem może oznaczać poważne problemy także dla firmy, w której zatrudniony jest właściciel urządzenia. W ten sposób dana osoba może nie tylko stracić swoją pracę, ale także ściągnąć wielkie kłopoty na samą firmę.
Gra zaczyna szpiegować tylko wtedy, gdy nieostrożny użytkownik daje uprawnienia dostępu do prawie wszystkiego, co znajduje się na urządzeniu.
Tak naprawdę wspomniana gra nie jest pierwszą tego rodzaju: próby cyberprzestępców ukrywania szkodliwego oprogramowania pod postacią przydatnych aplikacji są dosyć częste, można by rzecz, że staje się to już nagminne. Mimo to wspomniana gra wydaje się być nowym rodzajem mobilnego szkodliwego oprogramowania, ponieważ może kraść wiadomości nawet z zabezpieczonych aplikacji. Aplikacja została stworzona do „pracy” tylko z aplikacją Good for Enterprise, ale zasady, na jakich opiera się ta technika, mogą zostać użyte do kradzieży danych z prawie każdej aplikacji do komunikacji, np. WhatsApp, Viber itp.
Jeśli będziesz postępował zgodnie z naszymi poradami, z łatwością zredukujesz ryzyko infekcji mobilnym szkodliwym oprogramowaniem tego typu:
- nie aktywuj opcji „Zezwól na instalację aplikacji z innych źródeł”,
- instaluj aplikacje jedynie z oficjalnych sklepów (np. Google Play, Amazon Store),
- podczas instalowania nowych aplikacji uważnie czytaj wymagane uprawnienia,
- jeśli nie odpowiadają one przeznaczeniu aplikacji, nie instaluj jej,
- używaj oprogramowania zabezpieczającego
—–
AKTUALIZACJA: Zwrócono nam uwagę, że omawiana aplikacja została stworzona przez Lacoon Security w celach badawczych. Niniejszy artykuł został zmieniony w niektórych miejscach, aby odzwierciedlał realia, natomiast sama aplikacja nie jest już publicznie dostępna. Jednak porady zawarte w artykule pozostają aktualne, ponieważ atakujący może z łatwością utworzyć podobną, publicznie dostępną aplikację i z tego powodu badanie Lacoon uważam za przydatne.
Mimo to klasyfikacja tej aplikacji jako szkodliwej pozostanie tu niezmieniona. Nie dlatego, że jesteśmy bezkompromisowi, ale jako firma zajmująca się bezpieczeństwem mamy za zadanie wykrywanie szkodliwego oprogramowania bez względu na jego pochodzenie czy cel. Kaspersky Lab otrzymał próbki wspomnianej gry w ramach wymiany szkodliwego oprogramowania z innymi firmami antywirusowymi i nie zostały one oznaczone jako dowód koncepcji. Wykryliśmy kilka potencjalnie szkodliwych funkcji w tej aplikacji, natomiast według analizy sam kod gry TicTacToe stanowił mniej niż 30% rozmiaru pliku wykonywalnego. Pozostała część jest związana z funkcjonalnością oraz jest przeznaczona do monitorowania użytkowników i uzyskiwania danych osobistych. I z tego właśnie powodu przyjrzeliśmy się bliżej omawianej aplikacji oraz postanowiliśmy poruszyć temat na forum publicznym.