Fałszywy sklep z aplikacjami na Androida. Złośliwe oprogramowanie gratis

5 października 2020, 10:14
phone_technology_smartphone_app_screen-163722
fot. pxhere.com

Fałszywy sklep z aplikacjami, a w nim? Popularne aplikacje na Androida. Przy instalacji dorzucany jest stosowny „gratis”, który umożliwia cyberprzestępcom śledzenie aktywności użytkownika.

Eksperci firmy Eset wykryli fałszywy sklep o nazwie „DigitalApps” z aplikacjami na Androida, w którym zawarto popularne aplikacje jak komunikatory Telegram, Threema czy moduł aktualizacji systemu Android. Jak jednak wskazują eksperci, prawdopodobnie sklep jest tylko jednym ze sposób na rozprzestrzenianie zainfekowanych aplikacji.

Aby uśpić czujność, zainfekowane aplikacje zostały sprytnie ukryte pomiędzy linkami kierującymi do bezpiecznych wersji programów. Jak wskazują eksperci Eset, aby pobrać zainfekowaną aplikację, sklep domaga się podania sześciocyfrowego kodu z kuponu. „Zdaniem badaczy ma to na celu ograniczenie rozprzestrzeniania się trojana wyłącznie do określonej grupy celów obranej przez cyberprzestępców” - wskazuje Eset informując o swoim odkryciu.

Po instalacji na urządzeniu użytkownika, aplikacja prosi o uprawnienia do odczytywania powiadomień. Sugeruje przy tym, że jest to wymagane do poprawnego działania funkcji szyfrowania korespondencji. Co więcej prosi również o wyłączenie funkcji Play Protect (wbudowanego mechanizmu bezpieczeństwa systemu Android) oraz nagrywania ekranu, twierdząc, że potrzebuje uprawnień do używania bezpiecznego wideo chatu. „W następnej kolejności instalowana jest prawdziwa wersja aplikacji, pod którą podszywa się wirus, a ten zaczyna działać w tle, zbierając dane o użytkowniku” – wskazuje Eset. 

Za sklepem z zainfekowanymi aplikacjami, jak wskazuje Eset, stoi grupa APT-C-23, która pozostaje aktywna od co najmniej od 2017. Jednak w kwietniu br. grupa zaczęła wykorzystywać nową wersję oprogramowania szpiegującego na smartfony, które umożliwia śledzenie aktywności użytkownika – jak np. nagrywanie zawartości ekranu, odczytywanie historii połączeń telefonicznych czy dostęp do powiadomień. Co ważne, wirus potrafi usuwać powiadomienia aplikacji odpowiedzialnych za bezpieczeństwo, aby zminimalizować możliwość wykrycia. 

Działalność grupy APT-C-23, znanej również pod nazwą „Two-tailed Scorpion” atakującej głównie Bliski Wschód jest dobrze znane specjalistom branży. Pierwszy raz działalność ugrupowania wymierzona w Androida została opisana w 2017 roku, jednak od tego czasu, narzędzia wykorzystywane przez grupę znacząco ewoluowały zyskując rozszerzone opcje szpiegowskie.

Jak zminimalizować ryzyko zainfekowania? Korzystać tylko z autoryzowanego sklepu Google Play.

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24