Trojan uczy się omijać zabezpieczenia Sklepu Play firmy Google

Eksperci z Kaspersky Lab wykryli trojana Guerilla dla Androida, który podejmuje próby omijania mechanizmów zabezpieczających przed oszustwami, stosowanych przez firmę Google w Sklepie Play. Szkodnik korzysta z aplikacji, która zachowuje się w sposób sugerujący, że kontroluje ją człowiek. To fałszywe narzędzie pozwala atakującym na przeprowadzanie oszukańczych kampanii reklamowych, wykorzystując zainfekowane urządzenia mobilne do pobierania, instalowania, oceniania i komentowania aplikacji mobilnych. Na chwilę obecną trojan potrafi oszukiwać mechanizmy Sklepu Play tylko z poziomu urządzeń z dostępem do uprawnień administratora (root).

Jako platforma dla milionów użytkowników i twórców aplikacji Sklep Play firmy Google stanowi atrakcyjny cel dla cyberprzestępców. Poza innymi niebezpiecznymi działaniami atakujący wykorzystują Sklep Play do przeprowadzania tzw. kampanii Shuabang, które są szczególnie rozpowszechnione w Chinach. Są to oszukańcze działania reklamowe mające na celu promowanie legalnych aplikacji dostępnych w sklepie poprzez przyznawanie im najwyższych not, zwiększanie liczby pobrań i publikowanie pozytywnych komentarzy. Aplikacje stosowane do prowadzenia takich działań reklamowych zazwyczaj jako takie nie stanowią „typowego” zagrożenia dla użytkownika zainfekowanego użytkownika – nie kradną pieniędzy ani danych, jednak mogą wyrządzić pewne szkody. Możliwość pobierania dodatkowych aplikacji na zarażonym urządzeniu bez wiedzy użytkownika może być powodem zwiększonych rachunków za komórkowy transfer danych, a niektóre aplikacje wykorzystywane w kampaniach Shuabang potrafią ukradkowo instalować płatne programy, automatycznie wykorzystując kartę połączoną ze Sklepem Play jako metodę płatności.

W celu realizowania omawianych kampanii cyberprzestępcy tworzą wiele fałszywych kont w Sklepie Play lub infekują urządzenia ofiar specjalnym programem, który potajemnie wykonuje czynności w sklepie.

Mimo że firma Google stosuje solidne mechanizmy zabezpieczające, które umożliwiają wykrywanie i blokowanie fałszywych użytkowników, twórcy trojana Guerilla aktywnie próbują obejść ochronę.

Trojan jest dostarczany do urządzenia ofiary poprzez szkodliwe narzędzie Leech, dające atakującemu uprawnienia użytkownika zainfekowanego smartfona lub tabletu. Uprawnienia te pozwalają cyberprzestępcy na nieograniczone manipulowanie danymi na urządzeniu, między innymi pozwalają na uzyskanie dostępu do imienia i nazwiska ofiary, haseł czy certyfikatów uwierzytelniających, wymaganych do komunikowania się aplikacji z usługami Google (dane te nie są dostępne dla zwykłych aplikacji na urządzeniach, które nie zostały zrootowane). Po instalacji trojan Guerilla wykorzystuje te dane, by komunikować się ze Sklepem Play podszywając się pod legalną aplikację.

Cyberprzestępcy są bardzo ostrożni – wykorzystują wyłącznie dane uwierzytelniające prawdziwych użytkowników i dbają o to, by żądania wysyłane przez fałszywą aplikację do Sklepu Play były identyczne jak te generowane przez legalne programy.

Co ciekawe, szkodliwy program próbuje naśladować zachowanie prawdziwego użytkownika w sklepie. Na przykład przed otwarciem strony konkretnej aplikacji trojan szuka jej i przegląda zawartość sklepu tak, jak zrobiłby to człowiek.

„Guerilla nie jest pierwszym szkodliwym programem, który próbuje manipulować Sklepem Play, jednak robi to w sposób, jakiego nie obserwowaliśmy dotychczas. Sam pomysł atakujących jest prosty i bazuje na tym, że Google potrafi wychwycić żądania do Sklepu Play generowane przez roboty – większość znanych przez nas szkodników wykorzystywanych w kampaniach Shuabang automatycznie wysyła żądania do konkretnej strony z daną aplikacją. Prawdziwy użytkownik sklepu nie postępuje w taki sposób, dzięki czemu Google może łatwo odróżnić takie zachowania od działań wykonywanych przez autoryzowanych klientów sklepu. Szkodliwy program, który szuka aplikacji i przegląda zawartość sklepu, zanim przejdzie do jej strony, jest znacznie trudniejszy do wykrycia, ponieważ właśnie w taki sposób zachowuje się większość użytkowników. Warto podkreślić, że szkodnik potrafi oszukiwać mechanizmy bezpieczeństwa Sklepu Play wyłącznie na zrootowanych urządzeniach (z dostępem do uprawnień administracyjnych), co po raz kolejny przypomina, że należy unikać korzystania z takich smartfonów i tabletów z Androidem” – powiedział Nikita Buczka, ekspert ds. bezpieczeństwa IT, Kaspersky Lab.

Produkty Kaspersky Lab wykrywają trojana Guerilla jako Trojan.AndroidOS.Guerrilla.a.

Porady bezpieczeństwa

Aby zabezpieczyć urządzenie mobilne z Androidem przed szkodliwymi programami, eksperci z Kaspersky Lab zalecają przestrzeganie poniższych zasad:

  • Nie instaluj aplikacji spoza oficjalnych źródeł.

  • Korzystaj ze skutecznego rozwiązania bezpieczeństwa dla Androida.

  • Nie korzystaj na co dzień ze zrootowanych smartfonów i tabletów z Androidem.

Szczegóły techniczne dotyczące trojana Guerilla są dostępne na stronie https://kas.pr/F8jF.




opublikowano: 2016-08-31
Komentarze
Polityka Prywatności