Блог ESET Румунія

блог

Дослідники ESET виявили, що CepKutusu.com, турецький альтернативний магазин додатків для Android, поширює шкідливе програмне забезпечення, приховане за всіма пропонованими програмами для Android.

Коли користувачі переглядали турецький альтернативний магазин CepKutusu.com і завантажували програму, кнопка "Завантажити зараз" призводила до банківського шкідливого програмного забезпечення замість потрібної програми. Через кілька тижнів після того, як слідчі ESET зателефонували оператору магазину з виявленням нападу, магазин припинив зловмисну ​​діяльність.

Цікаво, що, хоча дослідники ESET виявили, що неправильний напрямок від законного додатка до шкідливого є загальним - це означає, що кожна програма була замінена банківським шкідливим програмним забезпеченням, оператори, що стоять за цією кампанією, додали виняток. Можливо, щоб збільшити шанс залишитися присутнім довше, вони ввели семиденне вікно, в якому не пропонуватимуть шкідливе програмне забезпечення після зловмисного завантаження. На практиці, після завантаження користувачем зараженої програми, встановлюється файл cookie, щоб запобігти перевазі шкідливої ​​системи, що призводить до отримання користувачем чистих посилань протягом наступних семи днів. Після цього користувач отримує переспрямування на шкідливе програмне забезпечення після спроби завантажити будь-яку програму з магазину.

Шкідливим додатком, розповсюдженим магазином на момент розслідування, було дистанційно кероване банківське шкідливе програмне забезпечення, здатне перехоплювати та надсилати SMS, відображати фальшиву активність, а також завантажувати та встановлювати інші програми.

Після встановлення шкідливе програмне забезпечення не відтворює програму, яку користувач має намір встановити. Натомість він імітує Flash Player.

eset

Рисунок 1 - Шкідливий додаток, що подається користувачеві, який вважає, що завантажує гру Clash of Clans та легітимну гру, запропоновану цьому ж користувачеві протягом семи днів

Щоб дізнатись більше про цю атаку та її більш широкі наслідки, ми звернулися до Лукаша Штефанка, дослідника зловмисного програмного забезпечення в ESET, який спеціалізується на зловмисному програмному забезпеченні Android і який виявив магазин додатків для розповсюдження зловмисного програмного забезпечення. переписано нижче.

Магазин додатків, який пропонує своїм клієнтам масові зловмисні програми - це, мабуть, є основною загрозою. З іншого боку, обслуговування Flash Player замість будь-якої програми хотіло б бажати клієнтів - це досить незначна маскування. яка ваша думка?

Перш за все, дозвольте сказати, що вперше я бачу цілий ринок Android, заражений таким чином. В екосистемі Windows та браузерах ця техніка, як відомо, використовується вже деякий час, але в екосистемі Android це справді новий вектор атаки.

Що стосується впливу, те, що ми бачили в цьому випадку, було, мабуть, випробуванням. Оператори неправильно контролювали магазин додатків. Заміна посилань з усіх додатків на посилання на одну шкідливу програму не вимагає особливих зусиль - але це також дає клієнтам магазинів реальний шанс виявити цю аферу. Якщо вас привабило завантажити популярну гру і ви дійшли висновку, що застрягли в Flash Player. Я думаю, ви б негайно видалили його та повідомили про проблему, ні?

Це може пояснити, чому було виявлено лише кілька сотень інфекцій.

З цієї точки зору, здається, це не так вже й багато.

Ну, як я вже сказав, це, мабуть, було випробуванням. Я можу уявити собі сценарій, коли злочинці, які контролюють закулісність магазину, додають шкідливу функціональність до кожного додатку в магазині. Запропонувати тим, хто зацікавлений у певній грі, троянізовану версію гри. це було б важливим тривожним фактором, і кількість жертв могла б значно зрости.

Щодо приписування цієї атаки - ви знайшли підказки?

Існує три можливих сценарії: магазин програм, побудований з метою розповсюдження шкідливого програмного забезпечення, законний магазин додатків став зловмисним через зловмисного співробітника, а законний магазин додатків став жертвою віддаленого зловмисника.

Що стосується другого та третього сценаріїв, я вважаю, що така атака не залишиться непоміченою законним магазином. Скарги користувачів, підозрілі журнали сервера та зміни коду повинні бути достатніми показниками для його операторів. тим більше, що шкідливе програмне забезпечення поширюється в магазині протягом декількох тижнів. Крім того, через зацікавленість у цьому плані, ми зв’язалися з операторами магазину з нашими висновками, але реакції ми не отримали.

Як захиститися

Рекомендації Лукаша Штефанка від ESET:

  • Якщо це можливо, завжди вибирайте завантаження програм з офіційних магазинів додатків.
    Ця порада нескінченно повторюється з поважної причини - в альтернативних магазинах додатків немає гарантій заходів безпеки, що робить їх чудовим місцем для авторів зловмисного програмного забезпечення поширювати свою "роботу" не лише через шкідливі програми. навмисне, але також масово, як показано в даному випадку.
  • Будьте обережні, завантажуючи вміст з Інтернету. Зверніть увагу на все підозріле, що спостерігається в назві файлу, його розмірі чи розширенні - тут можна заздалегідь розпізнати та уникнути багатьох загроз.
  • Використовуйте надійне рішення мобільної безпеки, щоб захиститися від останніх загроз. Щодо прихованої загрози в магазині альтернативних програм, ESET виявив її як Android/Spy.Banker.IE та запобігає її завантаженню.

ПЕТР СТАНЧИК
НЕЗАЛЕЖНИЙ КОРЕСПОНДЕНТ