Programiści korzystali z zainfekowanego SDK. Do sklepu trafiło wiele złośliwych aplikacji

14 marca, 2019

Zespół analityków firmy Check Point Research odkrył bardzo niebezpieczne zjawisko ataku hakerów na łańcuch dostaw oprogramowania do tworzenia gier na Androida. Popularny zestaw programistyczny SDK w Chinach, który zawiera niezbędne biblioteki do programowania aplikacji, został zainfekowany złośliwym kodem, mającym na celu wyświetlanie reklam i kradzież danych z telefonów.

Eksperci informują, że w ostatnich miesiącach aż 206 złośliwych gier zostało wrzuconych do sklepu Google Play, ale co gorsze, zabezpieczenia Google po raz kolejny okazały się niewystarczające. W konsekwencji, użytkownicy telefonów pobrali łącznie kilkaset złośliwych aplikacji ponad 147 milionów razy, padając ofiarą ukrytej kampanii.  Wirus nazwany ‘’SimBad’’ powoduje, że telefony wyświetlały ukryte reklamy podczas gry, bez możliwości ich usunięcia z urządzenia.

Złośliwe oprogramowanie zostało zintegrowane z rozwiązaniem programistycznym SDK SWAnalytics służącym do zarabiania na reklamach. SWAnalytic jest zintegrowany z pozornie niewinnymi aplikacjami opublikowanymi w największych chińskich sklepach, takich jak Tencent MyApp, Wandoujia, Huawei App Store i Xiaomi App Store. Po instalacji aplikacji, gdy SWAnalytics monitoruje ofiary otwierające zainfekowane aplikacje lub ponownie uruchamiające telefony, po cichu przesyła całą listę kontaktów do kontrolowanych serwerów Hangzhou Shun Wang Technologies.

Schemat infekowania telefonów i kradzieży danych.

Prawdopodobnie mogło dojść do zainfekowania łańcucha dostaw oprogramowania / bibliotek do SDK. W związku z tym programiści korzystali z zainfekowanych zestawów SDK, a skompilowane gry trafiały do Google Play.

SWAnalytics jest bardzo często wykorzystywany przez producentów gier (pozwala na wyświetlanie większej ilości reklam i większe przychody), będąc zintegrowanym z popularnymi aplikacjami na urządzenia Android, oferowanymi przez chińskich producentów gier i sklepy online. Po pobraniu złośliwej aplikacji ta wykrada z telefonu użytkownika dane (lista kontaktów) i przesyła do zdalnego serwera, należącego do hakerów.

Do dziś 12 spośród zainfekowanych aplikacji, z których większość stanowiły aplikacje systemowe, zostało pobrane 111 milionów razy przez użytkowników na całym świecie. Oznacza to, że hipotetycznie hakerzy mogli mieć niepowołany dostęp do listy nazwisk i numerów telefonów 1/3 całej populacji Chin…. Bardziej prawdopodobne jest jednak, że dane te krążyły na czarnym rynku i były wykorzystane do niebezpiecznych działań marketingowych lub skanowania danych.

W przeszłości hakerzy dokonywali już podobnych ataków. W 2017 roku fala ataków hakerskich NotPetya dotknęła setek tysięcy komputerów na całym świecie, w wyniku czego poszkodowane zostały wielkie firmy, instytucje rządowe i osoby prywatne. Podobnie ofiarą ataku padła powszechnie używana aplikacja CCleaner, mająca zabezpieczać urządzenia przez hakerami. Teraz okazuje się, że zagrożenie stanowi oprogramowanie SDK, powszechnie wykorzystywane przez producentów popularnych gier — ostrzegają analitycy Check Point Research.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]