Setki milionów użytkowników Androida ofiarami cyberprzestępców
Eksperci wpadli na ślad dwóch cyberprzestępczych kampanii, w ramach których zainfekowano ponad 200 aplikacji na Androida, a aplikacje te zostały pobrane ponad 250 milionów razy.
Obie kampanie skierowano wyłącznie przeciwko użytkownikom Androida, a przeprowadzono je nakłaniając programistów do używania złośliwych pakietów SDK (software development kits). W ramach jednej z kampanii aplikacje zostały zarażone adware'em, a w ramach drugiej – dokonują kradzieży informacji.
Jeden z ataków, nazwany „SimBad” gdyż zainfekował głównie gry, doprowadził do zarażenia 206 aplikacji, które zostały pobrany 150 milionów razy. Szkodliwe oprogramowanie znalazło się w SKD o nazwie RXDroider oferowanego przez witrynę addroider.com. Gdy tylko użytkownik zainstaluje jedną z zainfekowanych aplikacji, SimBad rejestruje się na jego urządzeniu i zyskuje prawo do anonimowego przeprowadzania różnych działań. Szkodliwy program łączy się z serwerem, z którego otrzymuje polecenia. Może to być zarówno polecenie połączenia się za pośrednictwem przeglądarki z konkretnym adresem, jak i nakaz usunięcia ikony jakiejś aplikacji. Najważniejszymi funkcjami szkodliwej aplikacji są wyświetlanie reklam, otwieranie witryn phishingowych oraz oferowanie użytkownikowi innych aplikacji. Napastnik ma też możliwość instalowania dodatkowych aplikacji na urządzeniu ofiary, co daje mu możliwość dalszego infekowania.
Obecnie SimBad działa jako adware, ale dzięki możliwości wyświetlania reklam, otwierania witryn i oferowania innych aplikacji może on wyewoluować w znacznie poważniejsze zagrożenie, stwierdzili badacze w firmy CheckPoint Research.
Druga z cyberprzestępczych operacji została nazwana „Operation Sheep”. W jej ramach napastnicy zainfekowali 12 aplikacji na Androida, które zostały pobrane już ponad 111 milionów razy. Aplikacje te na masową skalę kradną dane o kontaktach przechowywanych w telefonie. Tutaj ataku dokonano za pomocą SDK o nazwie SWAnalytics, za pomocą którego powstały aplikacje obecne przede wszystkim w sklepach chińskich producentów telefonów, takich jak Huawei App Store, Xiaomi App Store i Tencent MyApp.
Badacze trafili na ślad tej kampanii we wrześniu 2018 roku. Stwierdzili, że po zainstalowaniu którejś ze szkodliwych aplikacji, cała lista kontaktów użytkownika jest pobierana na serwery firmy Shun Wang Technologies. Jako, że z samego tylko Tencent MyApp pobrano szkodliwe aplikacje ponad 111 milionów razy, to teoretycznie Shun Wang Technologies może mieć w swojej bazie nazwiska i telefony co najmniej 1/3 populacji Chin. Jako, że ani Shun Wang nie informuje, w jaki sposób wykorzystuje te dane, ani nie ma nad nimi żadnego nadzoru z zewnątrz, teoretycznie firma może te dane sprzedać np. na czarnorynkowych giełdach internetowych.
W porównaniu z danymi finansowymi oraz rządowymi dokumentami identyfikacyjnymi dane dotyczące kontaktów osobistych są zwykle traktowane jako mniej wrażliwe. Powszechnie uważa się, że wykorzystanie takich danych i zarobienie na nich jest trudne i niewarte wysiłku. Jednak krajobraz się zmienia, a nielegalne rynki coraz bardziej się specjalizują, powstają nowe modele biznesowe pozwalające na zarobienie na takich danych, stwierdzili eksperci.
Komentarze (5)
Ksen, 14 marca 2019, 16:52
Antywirusy dla androida okazują się jednak potrzebnymi…
Drapak, 14 marca 2019, 19:54
Ta... link do listy aplikacji badz ich spis poproszę.
I z innej beczki. Niejednokrotnie koniecznosc dodania czegos takiego jak karta deb/kred powinna byc karana. W wypadku gdy google play każde ja dodac a zostaniemy okradzeni z naszych danych/pieniedzy powinni reczyc za to glowa i wlasnym portfelem. Inaczej sie sprawa ma do dobrowolnego dzielenia sie danymi. W tym jednak wypadku nie raz i nie dwa razy, bywa tak ze jest to koniecznoscia. Brzydko mowiac ruchaja nas w pomiędzy posladki. Cale szczescie sa virtualne karty ^^
lanceortega, 15 marca 2019, 23:03
Zgadza się.
Ale tak działa kapitalizm i silnie spokrewniona z nim ludzka natura: każdy chce zarobić jak najwięcej ale uniknąć odpowiedzialności.
Nie znam się. Ale czytałem, że bez uprawnień root antywirus g....o może zdziałać. I oby nie była to prawda!
thikim, 17 marca 2019, 22:53
Można by to rozważyć jeśli by ludzie płacili Google za założenie konta.
Coś za coś.
Ale ludzie już tak mają że zawsze chcą coś za nic.
Większość antywirusów nie działa. Jeśli już działają to mechanizmy działania są trochę inne niż w Windows.
I obejdzie się bez roota.
Ksen, 19 marca 2019, 23:52
Aplikacje dla Androida są uruchamiane w piaskownicy, więc teoretycznie też mogą g… zdziałać. Do czegoś jednak muszą mieć dostęp, żeby w ogóle być przydatnymi. Toteż większość złośliwych aplikacji posługuje się inżynierią społeczną. Mamy np. darmowe paczki ikon, które nie zawierają reklam czy mikropłatności i jednocześnie domagają się dostępu do sieci, kont użytkownika i zawartości kontaktów…
Antywirusy na Androida nie są tym samym, co podobnie nazywające się oprogramowanie z systemów NT. Androidowy antywirus przeskanuje pobieraną ze sklepu aplikację, aby sprawdzić, czy nie należy do podejrzanych, a także zaoferuje przeskanowanie pamięci stałej i kilka innych udogodnień. Dla nieznających się polecam przejrzenie stron specjalizujących się w porównywaniu antywirusów: są tam szczegółowe opisy, co takowe czynią i dlaczego jedne są lepsze od drugich.
https://www.av-test.org/en/antivirus/mobile-devices/
https://www.av-comparatives.org/tests/android-test-2019-250-apps/