Malware na Androida, które „uczy się” omijać zabezpieczenia Google Play

31 sierpnia, 2016

Eksperci z Kaspersky Lab wykryli trojana Guerilla dla Androida, który podejmuje próby omijania mechanizmów zabezpieczających przed oszustwami, stosowanych przez firmę Google w Sklepie Play. To fałszywe narzędzie pozwala atakującym na przeprowadzanie oszukańczych kampanii reklamowych, wykorzystując zainfekowane urządzenia mobilne do pobierania, instalowania, oceniania i komentowania aplikacji mobilnych. Na chwilę obecną trojan potrafi oszukiwać mechanizmy Sklepu Play tylko z poziomu urządzeń z dostępem do uprawnień administratora (root). 

Poza innymi niebezpiecznymi działaniami, atakujący wykorzystują Sklep Play do przeprowadzania tzw. kampanii Shuabang, które są szczególnie rozpowszechnione w Chinach. Są to oszukańcze działania reklamowe mające na celu promowanie legalnych aplikacji dostępnych w sklepie poprzez przyznawanie im najwyższych not, zwiększanie liczby pobrań i publikowanie pozytywnych komentarzy.

Aplikacje stosowane do prowadzenia takich działań reklamowych zazwyczaj jako takie nie stanowią „typowego” zagrożenia dla użytkownika zainfekowanego użytkownika – nie kradną pieniędzy ani danych, jednak mogą wyrządzić pewne szkody. Możliwość pobierania dodatkowych aplikacji na zarażonym urządzeniu bez wiedzy użytkownika może być powodem zwiększonych rachunków za komórkowy transfer danych, a niektóre aplikacje wykorzystywane w kampaniach Shuabang potrafią ukradkowo instalować płatne programy, automatycznie wykorzystując kartę połączoną ze Sklepem Play jako metodę płatności. 

W celu realizowania omawianych kampanii cyberprzestępcy tworzą wiele fałszywych kont w Sklepie Play lub infekują urządzenia ofiar specjalnym programem, który potajemnie wykonuje czynności w sklepie. Mimo że firma Google stosuje solidne mechanizmy zabezpieczające, które umożliwiają wykrywanie i blokowanie fałszywych użytkowników, twórcy trojana Guerilla aktywnie próbują obejść ochronę.

Trojan jest dostarczany do urządzenia ofiary poprzez szkodliwe narzędzie Leech, dające atakującemu uprawnienia użytkownika zainfekowanego smartfona lub tabletu. Uprawnienia te pozwalają cyberprzestępcy na nieograniczone manipulowanie danymi na urządzeniu, między innymi pozwalają na uzyskanie dostępu do imienia i nazwiska ofiary, haseł czy certyfikatów uwierzytelniających, wymaganych do komunikowania się aplikacji z usługami Google (dane te nie są dostępne dla zwykłych aplikacji na urządzeniach, które nie zostały zrootowane).

Po instalacji trojan Guerilla wykorzystuje te dane, by komunikować się ze Sklepem Play podszywając się pod legalną aplikację. Cyberprzestępcy są bardzo ostrożni – wykorzystują wyłącznie dane uwierzytelniające prawdziwych użytkowników i dbają o to, by żądania wysyłane przez fałszywą aplikację do Sklepu Play były identyczne jak te generowane przez legalne programy.

Co ciekawe, szkodliwy program próbuje naśladować zachowanie prawdziwego użytkownika w sklepie. Na przykład przed otwarciem strony konkretnej aplikacji trojan szuka jej i przegląda zawartość sklepu tak, jak zrobiłby to człowiek. 

Czy ten artykuł był pomocny?

Oceniono: 0 razy

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]