Google Play zainfekowane spyware’m. Microsoft Store aplikacjami z pornografią

4 kwietnia, 2019
Spyware Google Play

Nie wiemy, kiedy się to zaczęło, ale już najwyższy czas zapamiętać, że instalowanie aplikacji tylko i wyłącznie z oficjalnych repozytoriów nie jest dobrą praktyką, która decydowałaby o bezpiecznym smartfonie. W skrajnych przypadkach złośliwe oprogramowanie może być preinstalowane w oprogramowaniu telefonu i nie da się tak po prostu usunąć złośliwego kodu. Są to przypadki nieczęste, ale bardzo medialne. Znacznie częściej złośliwe oprogramowanie znajduje się w oficjalnym sklepie z aplikacjami. Z kolei funkcja w Androidzie blokująca instalowanie programów ze źródeł innych niż Google Play Store to dobry żart na pierwszy kwietnia.

Czytelnicy regularnie czytający AVLab powinni mieć wypracowane dobre praktyki „nie-instalowania” czbędnych programów, nawet z oficjalnych repozytoriów. Zachęcamy do korzystania z programów o otwartym kodzie źródłowym, które można pobierać z F-Droid, czyli bezpieczniejszego i darmowego alternatywnego sklepu dla Google Play. Osoby nietechniczne ufające w skuteczność zabezpieczeń swoich smartfonów, w tym w natywne zabezpieczenia Google, skazane są na infekowanie swoich smartfonów, ponieważ technologiczny gigant nie potrafi walczyć z autorami złośliwych aplikacji.

Najnowsze dwa incydenty dokładają swoje trzy grosze do tezy potwierdzającej nieskuteczność zabezpieczeń oficjalnych repozytoriów.

Google Play

Fałszywe włoskojęzyczne aplikacje serwisowe, które podszywały się pod te udostępniane przez operatorów telefonii komórkowej, okazały się oprogramowaniem szpiegującym omijającym skutecznie filtry internetowego sklepu Google Play. Zakrojone na szeroką skalę działania hackerskie doprowadziły do zainfekowania sklepu i stan ten utrzymywał się przez 3 lata. Zespół badaczy analizował próbki pochodzące z okresu od 2016 do 2019 roku, co oznacza, że szkodliwe oprogramowanie znajdowało się w sklepie internetowym przez długi czas. Większość z tych aplikacji była instalowana po kilkadziesiąt razy, a w przypadku jednej, nawet ponad 350 razy.

Google Play Store

Wszystkie zainfekowane urządzenia znajdują się we Włoszech. Programy szpiegujące miały szerokie możliwości zbierania i przechwytywania informacji, które mogły narażać zainfekowane urządzenia na dalsze zagrożenia, włącznie z manipulowaniem danymi.

Oprogramowanie szpiegujące prawdopodobnie zostało opracowane przez włoską firmę eSurv, która działa głównie w branży monitoringu CCTV. Firma znana jest z rozwiązania o takiej samej nazwie — eSurv. Nie wiemy dokładnie, czy eSurv to ten sam eSURV — system do wspomagania obsługi zdarzeń drogowych używany przez policję w Polsce. Gdyby ktoś z Czytelników wiedział, prosimy o informację.

Microsoft Store

Na oficjalnej stronie Microsoftu z aplikacjami dla Windows firma Symantec znalazła 81 programów wyświetlających treści pornograficzne i hazardowe. Niektóre z nich zostały usunięte, ale większość nadal jest dostępna do pobrania ze sklepu z aplikacjami.

Tematyka aplikacji obejmuje szereg różnych kategorii: sport, gry, wiadomości, antywirusy… Na pierwszy rzut oka wszystkie były udostępniane przez różnych programistów. Analiza wykazała, że łączy je ULR konfiguracyjny:

http://myservicessapps[DOT]com/firebase/[PHP Name]?app=[APP ID]

Z tego linku aplikacja pobierała zawartość do aktualizacji. Dodatkowa pobrana funkcjonalność wyświetlała treść wskazaną przez dewelopera. Mogły to być na przykład koparki kryptowalut, okienka phishingowe wyłudzające dane z karty płatniczej, treści pornograficzne, hazardowe, reklamowe.

Pełna lista wszystkich 81 aplikacji: https://www.symantec.com/blogs/threat-intelligence/pua-microsoft-store-porn-gambling

Rekomendacje dla użytkowników smartfonów

Nie możemy zarekomendować sklepu Google albo Microsoftu jako bezpiecznego źródła z aplikacjami. Zamiast tego zalecamy korzystanie z alternatywnej platformy dla Google Play, czyli F-Droid. Nie zauważamy incydentu z fałszywym oprogramowaniem w sklepie F-Droid. Sklep działa na podobnej zasadzie do Google Play, ale zawiera jedynie wolne i otwarte oprogramowanie. Aplikacje mogą być instalowane oraz wyszukiwane na stronie projektu lub bezpośrednio z aplikacji klienckiej. Jeśli ktoś szuka bezpiecznych programów, które mogą zastąpić te komercyjne, to jak najbardziej.

Jeżeli mielibyśmy zarekomendować oprogramowanie antywirusowe dla systemu Android, to musi być opracowane przez producenta, który posiada silne zaplecze technologiczne i ogromną społeczność dostarczającą metadane o zagrożeniach. Jest to jedyny gwarant solidnego zabezpieczenia smartfonu renomowanym oprogramowaniem. Dodatkowo ważniejsze niż oprogramowanie antywirusowe jest sprawdzanie popularności instalowanego softu, opinie użytkowników oraz historia dewelopera.

Nie należy instalować programów, które nie są niezbędne do pracy, a wszystkie pozostałe, które nie są używane, powinny zostać usunięte.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]