ESET Románia Blog

blog

Az ESET kutatói azt találták, hogy a CepKutusu.com, egy török ​​alternatív Android alkalmazásbolt, az összes kínált Android alkalmazás mögé rejtett rosszindulatú programokat terjeszt.

Amikor a felhasználók a böngészést végezték a török ​​CepKutusu.com alternatív áruházban, és letöltöttek egy alkalmazást, a "Letöltés most" gomb banki rosszindulatú programhoz vezetett a kívánt alkalmazás helyett. Néhány héttel azután, hogy az ESET nyomozói felhívták a bolt üzemeltetőjét a támadás felfedezésével, az üzlet abbahagyta a rosszindulatú tevékenységet.

Érdekes, hogy bár az ESET kutatói úgy találták, hogy a törvényes alkalmazástól a rosszindulatúig terjedő rossz irány általános - ez azt jelenti, hogy minden alkalmazást banki rosszindulatú programra cseréltek, a kampány mögött álló operátorok kivételt tettek hozzá. Valószínűleg annak érdekében, hogy növelje a hosszabb ideig való jelenlét esélyét, bevezettek egy hétnapos ablakot, amelyben rosszindulatú letöltés után nem szabad kártékony programokat kínálni. A gyakorlatban, miután a felhasználó letöltött egy fertőzött alkalmazást, egy sütit állítanak be a rosszindulatú rendszerek túlsúlyának megakadályozására, ami azt eredményezi, hogy a felhasználó tiszta linkeket kap a következő hét napra. Ezen időszak után a felhasználó átirányítást kap a rosszindulatú programokra, miután megpróbálta letölteni az alkalmazásokat az üzletből.

Az áruház által a vizsgálat idején terjesztett rosszindulatú alkalmazás egy távvezérelt banki malware volt, amely képes volt SMS-ek elfogására és küldésére, hamis tevékenységek megjelenítésére, valamint egyéb alkalmazások letöltésére és telepítésére.

Telepítéskor a rosszindulatú program nem játssza le azt az alkalmazást, amelyet a felhasználó telepíteni kíván. Ehelyett a Flash Playert utánozza.

rosszindulatú programok

1. ábra - Rosszindulatú alkalmazás annak a felhasználónak, aki úgy gondolja, hogy hét napon belül letölti a Clash of Clans játékot és az ugyanazon felhasználónak felajánlott törvényes játékot.

Ha többet szeretne megtudni erről a támadásról és annak szélesebb következményeiről, Lukáš Štefankohoz, az ESET rosszindulatú programokkal foglalkozó kutatójához fordultunk, aki az Android rosszindulatú programjaira szakosodott, és aki felfedezte a rosszindulatú programok terjesztésére szolgáló alkalmazásboltot. alább átírva.

Egy olyan alkalmazásbolt, amely tömeges kártékony programokat kínál vásárlóinak - ez úgy tűnik, hogy komoly fenyegetést jelent. Másrészt a Flash Player bármilyen alkalmazás helyett történő kiszolgálása ügyfeleket akart volna - ez meglehetősen csekély álca. Mi a véleményed?

Először is hadd mondjam el, hogy először láttam egy teljes Android-piacot ilyen módon fertőzöttnek. A Windows ökoszisztémában és a böngészőkben ezt a technikát már egy ideje ismerik, de az Android ökoszisztémájában ez valóban egy új támadási vektor.

Hatását tekintve valószínűleg teszt volt az, amit ebben az esetben láttunk. Az üzemeltetők visszaéltek az alkalmazásbolt irányításával. Az összes alkalmazásból származó linkek cseréje egyetlen rosszindulatú alkalmazásra mutató linkre nem igényel nagy erőfeszítéseket - ugyanakkor a bolt vásárlóinak is valós esélyt ad arra, hogy észrevegyék ezt az átverést. Ha vonzott egy népszerű játék letöltése, és arra a következtetésre jutott, hogy elakadt a Flash Player alkalmazásban. Azt hiszem, azonnal eltávolítanád, és jelentenéd a problémát, nem?

Ez megmagyarázhatja, miért azonosítottak csak néhány száz fertőzést.

Ebből a szempontból nem tűnik soknak.

Nos, mint mondtam, valószínűleg teszt volt. El tudok képzelni egy forgatókönyvet, amelyben az áruház kulisszáit irányító bűnözők rosszindulatú funkciókat adnak az áruház minden alkalmazásához. Felajánlja az adott játék iránt érdeklődőknek a játék trójai változatát. ez fontos riasztó tényező lenne, és az áldozatok száma jelentősen növekedhet.

Ami ezt a támadást illeti - találtál nyomokat?

Három lehetséges forgatókönyv létezik: egy rosszindulatú programok elterjesztése céljából épített alkalmazásbolt, egy törvényes alkalmazásbolt egy rosszindulatú alkalmazott miatt vált rosszindulatúvá, a törvényes alkalmazásbolt pedig távoli támadó áldozatává vált.

Ami a második és a harmadik forgatókönyvet illeti, úgy gondolom, hogy egy ilyen támadást egy törvényes üzlet nem vesz észre. A felhasználói panaszoknak, a gyanús szervernaplóknak és a kódváltozásoknak elegendő mutatónak kell lenniük az üzemeltetők számára. főleg, hogy a kártevőt több héten keresztül terjesztették az üzletben. Továbbá, az ezzel kapcsolatos érdeklődés miatt megkerestük az áruházak üzemeltetőit eredményeinkkel, de nem kaptunk reakciót.

Hogyan védekezhet

Lukáš Štefanko ajánlásai az ESET-től:

  • Ha lehetséges, mindig válassza az alkalmazások letöltését a hivatalos alkalmazásboltokból.
    Ezt a tanácsot jó okból a végtelenségig megismétlik - az alternatív alkalmazásboltokban nincs garancia a biztonsági intézkedésekre, így kiváló helyük a rosszindulatú programok szerzőinek, hogy nemcsak a rossz alkalmazásokon keresztül terjesszék "munkájukat". szándékos, de tömegesen is, amint ezt az eset szemlélteti.
  • Legyen óvatos, amikor tartalmat tölt le az internetről. Figyeljen minden olyan gyanúsra, amelyet a fájl nevében, méretében vagy kiterjesztésében észleltek - itt lehet sok fenyegetést előre felismerni és elkerülni.
  • Használjon megbízható mobil biztonsági megoldást, hogy megvédje magát a legújabb fenyegetések ellen. Ami az alternatív alkalmazásbolt rejtett fenyegetését illeti, az ESET Android/Spy.Banker.IE néven észlelte és megakadályozza a letöltést.

PÉTER STANCIK
FÜGGETLEN MEGFELELŐ