Κακόβουλες εφαρμογές στο Play Store

Η Google έχει πάρει ολοένα και πιο εξελιγμένα βήματα, για να κρατήσει μακριά από το Google Play τις κακόβουλες εφαρμογές. Αλλά ένας νέος γύρος κατάργησης που περιλαμβάνει περίπου 200 εφαρμογές και πάνω από 10 εκατομμύρια πιθανά θύματα, δείχνει πως αυτό το μακροχρόνιο πρόβλημα παραμένει πολύ μακριά από το να επιλυθεί – και σε αυτήν την περίπτωση, ενδεχομένως να κοστίσει στους χρήστες εκατοντάδες εκατομμύρια δολάριαΗ Google έχει πάρει ολοένα και πιο εξελιγμένα βήματα, για να κρατήσει μακριά από το Google Play τις κακόβουλες εφαρμογές. Αλλά ένας νέος γύρος κατάργησης που περιλαμβάνει περίπου 200 εφαρμογές και πάνω από 10 εκατομμύρια πιθανά θύματα, δείχνει πως αυτό το μακροχρόνιο πρόβλημα παραμένει πολύ μακριά από το να επιλυθεί – και σε αυτήν την περίπτωση, ενδεχομένως να κοστίσει στους χρήστες εκατοντάδες εκατομμύρια δολάρια.

Ερευνητές από την εταιρεία κινητής ασφάλειας Zimperium, λένε πως η μαζική εκστρατεία απάτης μαστίζει τα Android από τον Νοέμβριο του 2020. Όπως συμβαίνει συχνά, οι επιτιθέμενοι μπόρεσαν να βάλουν κρυφές καλοήθεις εφαρμογές όπως η “Handy Translator Pro,” “Heart Rate and Pulse Tracker,” και η “Bus – Metrolis 2021” στο Google Play ως μέτωπα για κάτι πιο απειλητικό. Μετά την λήψη μίας από τις κακόβουλες εφαρμογές, το θύμα θα λαμβάνει μία πλημμύρα από ειδοποιήσεις, πέντε την ώρα, που το ωθεί να “επιβεβαιώσει” τον αριθμό τηλεφώνου για να διεκδικήσει ένα βραβείο. Η σελίδα παραλαβής του “βραβείου” φορτώνεται μέσω του προγράμματος περιήγησης μέσω της εφαρμογής, μία κοινή τακτική για να κρατάει τους κακόβουλους δείκτες έξω από τον κώδικα της ίδιας της εφαρμογής. Όταν ο χρήστης βάλει τα στοιχεία, οι επιτιθέμενοι τους καταχωρούν σε μία μηνιαία επαναλαμβανόμενη χρέωση, περίπου 42 δολάρια, μέσω της premium υπηρεσίας sms των ασύρματων λογαριασμών. Είναι ένας μηχανισμός που κανονικά σας επιτρέπει να πληρώνετε για ψηφιακές υπηρεσίες ή ας πούμε, να στέλνετε χρήματα σε μία φιλανθρωπική οργάνωση μέσω μηνύματος κειμένου. Σε αυτήν την περίπτωση όμως πηγαίνουν κατευθείαν στους απατεώνες.

Οι τεχνικές είναι συνηθισμένες σε κακόβουλες εφαρμογές του Play Store και η απάτη με sms είναι ένα ιδιαίτερα διαβόητο ζήτημα. Αλλά οι ερευνητές λένε, είναι σημαντικό το πως οι επιτιθέμενοι κατάφεραν να συνδυάσουν αυτές τις γνωστές προσεγγίσεις με έναν τρόπο που ήταν εξαιρετικά αποτελεσματικός – και σε εντυπωσιακούς αριθμούς – ακόμα και όταν η Google βελτιώνει συνεχώς την ασφάλεια της και τις άμυνες του Play Store.

Ο Richard Melick, διευθυντής της στρατηγικής προϊόντων για την ασφάλεια του τελικού σημείου της εταιρείας Zimperium λέει “ Πρόκειται για μία εντυπωσιακή παράδοση από άποψη κλίμακας. Έσπρωξαν το πλήρες γάντι των τεχνικών σε όλες τις κατηγορίες. Αυτές οι μέθοδοι είναι εκλεπτυσμένες και αποδεδειγμένες. Και είναι πραγματικά ένα αποτέλεσμα βομβαρδισμού της περιοχής, όταν πρόκειται για ποσότητα εφαρμογών. Μία μπορεί να είναι επιτυχημένη άλλη όχι και αυτό είναι εντάξει”.

Η επιχείρηση στόχευσε σε χρήστες Android σε πάνω από 70 χώρες, και έλεγξαν συγκεκριμένα τις διευθύνσεις IP τους για να κατανοήσουν γεωγραφικά τις περιοχές τους. Η εφαρμογή θα εμφανίζει ιστοσελίδες στην κύρια γλώσσα της τοποθεσίας για να κάνει την εμπειρία πιο συναρπαστική. Οι χειριστές κακόβουλου λογισμικού φρόντισαν να μην ξανά χρησιμοποιήσουν τις διευθύνσεις URL, γεγονός που μπορεί να διευκολύνει τους ερευνητές ασφάλειας να τα παρακολουθούν. Και το περιεχόμενο που έφτιαξαν οι επιτιθέμενοι είναι υψηλής ποιότητας χωρίς τυπογραφικά και γραμματικά λάθη που μπορούν να δώσουν πιο εμφανές απάτες.

Η Zimperium είναι μέλος της Google’s App Defense Alliance, ένας συνασπισμός εταιρειών τρίτων που βοηθούν την παρακολούθηση του κακόβουλου λογισμικού του Play Store και η εταιρεία αποκάλυψε την λεγόμενη καμπάνια GriftHorse ως μέρος αυτής της συνεργασίας. Η Google λέει, πως όλες οι εφαρμογές που έχει εντοπίσει το Zimperium έχουν αφαιρεθεί από το Play Store και οι αντίστοιχοι προγραμματιστές εφαρμογών έχουν αποκλειστεί.

Οι ερευνητές τονίζουν πως οι εφαρμογές – πολλές από τις οποίες είχαν εκατοντάδες χιλιάδες λήψεις – εξακολουθούν να είναι διαθέσιμες μέσω καταστημάτων εφαρμογών τρίτων. Σημειώνουν επίσης, ότι ενώ η απάτη με sms είναι παλιά, είναι ακόμα αποτελεσματική, επειδή οι κακόβουλες χρεώσεις συνήθως δεν εμφανίζονται μέχρι τον επόμενο λογαριασμό ασύρματου δικτύου του θύματος. Εάν οι επιτιθέμενοι μπορούν να μεταφέρουν τις εφαρμογές τους σε εταιρικές συσκευές, μπορούν ακόμη να εξαπατήσουν και υπαλλήλους μεγάλων εταιρειών κάνοντας τους να εγγραφούν σε χρεώσεις που θα μπορούσαν να περάσουν απαρατήρητες για χρόνια σε έναν αριθμό τηλεφώνου εταιρείας.

Αν και η κατάργηση τόσων εφαρμογών θα επιβραδύνει την εκστρατεία GriftHorse, προς το παρόν, οι ερευνητές τονίζουν πως πάντα εμφανίζονται νέες παραλλαγές.

Ο CEO της εταιρείας Zimperium Shridhar Mittal λέει “Αυτοί οι επιτιθέμενοι είναι οργανωμένοι και επαγγελματίες. Το έθεσαν ως επιχείρηση και δεν πρόκειται απλά να υποχωρήσουν. Είμαι σίγουρος πως αυτό δεν ήταν απλά κάτι της μίας φοράς”.

Πηγή: https://www.csii.gr/kakovoyles-efarmoges-sto-play-store/