Szkodliwe oprogramowanie przebrane za ochronę antywirusową

Fałszywa aplikacja Kaspersky Internet Security for Android to dowód na to, jak niebezpieczne mogą być aplikacje spoza oficjalnych sklepów.

W prawie każdym poście poświęconym systemowi Android zalecamy instalowanie aplikacji tylko z oficjalnych źródeł. W najbliższym czasie to się nie zmieni – niedawno oszuści dystrybuowali trojana bankowego pod postacią popularnych odtwarzaczy multimedialnych, aplikacji do fitnessu, czytnika książek i… programu Kaspersky Internet Security for Android.

Dlaczego instalowanie aplikacji z alternatywnych źródeł jest niebezpieczne

Jeśli chodzi o nieoficjalne sklepy z aplikacjami, same w sobie nie stwarzają one zagrożenia, chociaż nikt nam nie zagwarantuje, że akurat ten jest godny zaufania. W oficjalnym sklepie z aplikacjami na Androida — takim jak Google Play czy Huawei AppGallery — pracownicy odpowiednich firm sprawdzają każdą aplikację zgłoszoną przez programistów i usuwają te, które wykazują szkodliwe działanie. Są to duże firmy, które dbają o swoją reputację i chronią bezpieczeństwo klientów, a także mają zarówno spore zasoby, jak i motywację, aby pomóc użytkownikom w ochronie przed szkodliwym oprogramowaniem.

Chociaż czasami szkodliwy program przechodzi pozytywnie kontrolę i trafia do sklepu Google Play, szanse na spotkanie takiego trefnego egzemplarza są znacznie mniejsze niż w przypadku for dyskusyjnych, trackerów torrentowych czy jakichś innych stron. Małe, niezależne sklepy zwykle nie prowadzą wielu kontroli, a to zazwyczaj dlatego, że brakuje im zasobów. W rezultacie oferowane przez nie aplikacje mogą być „przebrane” za cokolwiek.

Należy wspomnieć, że samo pobranie szkodliwego oprogramowania na urządzenie z Androidem zwykle nie wystarcza, aby je zainfekować. O ile nie wykorzysta ono jakiegoś wyjątkowego exploita dnia zerowego, który umożliwi mu zdobycie uprawnień superużytkownika, zainstalowanie niebezpiecznej aplikacji w systemie Android wymaga podjęcia przez człowieka pewnych działań. System operacyjny pyta nas o każdy krok: czy naprawdę chcesz zainstalować aplikację, czy zgadzasz się udzielić jej konkretnych uprawnień i tak dalej. Aby przekonać ludzi do wyrażenia zgody, cyberprzestępcy stosują socjotechnikę — i często im się to udaje.

Szkodliwa ochrona z alternatywnego sklepu

Niedawno grupa badaczy poinformowała o znalezieniu aplikacji na Androida rozprzestrzeniających się za pośrednictwem różnych fałszywych stron. Wśród nich znajdowała się fałszywa wersja naszego programu Kaspersky Internet Security for Android.

Oszuści rozprzestrzeniali swoją fałszywą aplikację pod nazwą „Kaspersky Free Antivirus” (kiedyś faktycznie oferowaliśmy produkt o tej nazwie, ale był on przeznaczony dla systemu Windows). Obecna w sklepie Google Play nasza mobilna aplikacja antywirusowa nazywa się teraz Kaspersky Mobile Antivirus: Applock & Web Security.

Jak na ironię, użytkownicy, którzy pobrali fałszywą aplikację antywirusową, otrzymali trojana bankowego znanego jako TeaBot, którego nasze produkty zabezpieczające wykrywają jako HEUR: Trojan-Banker.AndroidOS.Teaban oraz HEUR: Trojan-Banker.AndroidOS.Regon.

Dlaczego taka sytuacja jest szczególnie problematyczna w przypadku aplikacji antywirusowych? Chodzi o to, że użytkownik nie tylko pobiera i instaluje trojana bankowego i nie jest świadomy stanu faktycznego, ale także przyznaje mu wszystkie uprawnienia, których żąda. Jak wiadomo, autentyczna aplikacja antywirusowa potrzebuje wielu uprawnień, w tym bardzo dostępu do bardzo newralgicznych aspektów, np. do usługi ułatwień dostępu.

Co gorsza, z uwagi na brak rzeczywistej ochrony antywirusowej urządzenie nie potrafi wykrywać szkodliwego oprogramowania.

Ukończenie instalacji trojana TeaBot i przyznanie mu wszystkich wymaganych uprawnień sprawia, że może on robić na urządzeniu z Androidem prawie wszystko: od rejestrowania naciśnięć klawiszy przez kradzież kodów z aplikacji Google Authenticator po wykorzystanie funkcji Dostępność do szkodliwych zamiarów. Mówiąc wprost, może przejąć zdalną kontrolę nad urządzeniem z systemem Android.

Jak upewnić się, że aplikacja jest legalna

Antywirus to nie jedyne przebranie trojana TeaBot; podszywa się on również pod znane aplikacje m.in. rządowe, finansowe czy związane z fitnessem. Aby nie wpaść w kłopoty, wyłącz w smartfonie możliwość instalowania aplikacji z nieznanych źródeł — Android daje taką możliwość. A jeśli potrzebujesz jakiejś aplikacji, znajdź ją w oficjalnym sklepie.

Zachowaj także ostrożność podczas nadawania uprawnień aplikacjom. Jeśli na przykład aplikacja do fitnessu nieoczekiwanie zażąda uprawnień do korzystania z ułatwień dostępu, dobrze się zastanów, zanim udzielisz jej odpowiedzi.

Korzystaj z prawdziwej ochrony antywirusowej –możesz zdecydować się na całkowicie bezpłatną edycję Kaspersky Internet Security for Android. Nie warto ryzykować korzystaniem z nieoficjalnych źródeł, naszą aplikację antywirusową znajdziesz zarówno w sklepie Google Play, jak i Huawei AppGallery.

Porady