Ogranicz zaufanie dla wszystkich aplikacji z Google Play

17 maja, 2016

“Pobieraj aplikacje tylko z oficjalnego źródła” – chyba już najwyższy czas, aby eksperci bezpieczeństwa ugryźli się w język i przestali umieszczać w swoich złotych poradach instalowanie aplikacji tylko z “bezpiecznego źródła” – źródła, które nie za bardzo da się jednoznacznie określić. Bo czymże jest to “bezpieczne źródło”? Market Google Play? Po raz kolejny zabezpieczenia Google okazują się niewystarczające. 

W sklepie z mobilnymi aplikacjami dla systemu Android wykryto aplikację Viking Jump, która była narzędziem w rękach przestępców. Od 14 kwietnia do 5 maja została pobrana od 50 do 100 tysięcy razy! 

Szkodliwą aktywność sieciową aplikacji zauważyli badacze złośliwego oprogramowania z Check Point. Według przeprowadzonej analizy, gra Viking Jump służyła do klikania w reklamy poprzez tzw. click-jacking. Systemy zabezpieczenia reklamodawcy były omijane dzięki instalowaniu przez malware serwera proxy na każdym zainfekowanym urządzeniu. Niektórzy użytkownicy donosili, że malware wysyłało wiadomości SMS na numery premium. Co więcej, smartfony, na których zainstalowano aplikację stawały się częścią botnetu i mogły uczestniczyć w atakach DDoS. Ale to nie wszystko. W skład pakietu “Viking Horde”, oprócz Viking Jump wchodziły aplikacje: Memory Booster, Parrot Copter i Simple 2048. Wszystkie były wątpliwej popularności, w dodatku na urządzeniach z uprawnieniami root żądały dostępu do tychże uprawnień. 

Viking Jump

Jeśli użytkownik pobrał jedną z nich na swoje urządzenie i uruchomił, aplikacja instalowała złośliwe komponenty o podobnych nazwach co systemowe. Na urządzeniach z uprawnieniami root, malware instalowało dwa komponenty:

  • app_exec do komunikacji z serwerem C&C – najgroźniejszy składnik, który pobierał z serwera C&C pliki binarne i mógł je uruchamiać.
  • app_acec_watch_dog działał jako mechanizm aktualizacji. W razie konieczności restartował app_exec.

Jeśli urządzenie nie posiadało uprawnień root, szkodliwa aplikacja ładowała plik app_exec jako współdzieloną bibliotekę, która pozwalała uruchomić kod napisany w języku Java. 

W obu scenariuszach, plik app_exec ustanawiał połączenia TCP z serwerem C&C, co umożliwiało przestępcy co 10 sekund aktualizowanie informacji o statusie baterii, numerze telefonu, rodzaju połączenia. Następnie malware tworzyło z urządzenia serwer proxy ukrywając prawdziwy adres IP serwera C&C.

Botnet był kontrolowany przez wiele serwerów C&C, a każdy z nich zarządzał setkami urządzeń. Najwięcej zainfekowanych telefonów stwierdzono w Rosji, USA, Meksyku, Hiszpanii.

Viking Map

Zalecenia

1. Zweryfikuj wszystkie zainstalowane aplikacje. Te, które nie są używane i niepotrzebnie zalegają na urządzeniu stwarzają potencjalne ryzyko. Pozbądź się ich. 
2. Zwracaj uwagę na uprawnienia instalowanych aplikacji.
3. Jeśli urządzenie posiada uprawnienia root, zastanów się nad alternatywą dla Google Play. Sklep F-Droid posiada oprogramowanie sprawdzone przez społeczność. Jest zdecydowanie uboższe w aplikacje, ale dla najpotrzebniejszych aplikacji na pewno znajdą się zamienniki – czasami lepsze niż oryginały.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]