Cercetătorii ESET au descoperit că CepKutusu.com, un magazin alternativ turcesc de aplicații Android, răspândea malware ascuns în spatele tuturor aplicațiilor Android oferite.
În momentul în care utilizatorii au navigat prin magazinul alternativ turcesc CepKutusu.com și au descărcat o aplicație, butonul "Descărcați acum" a condus la un malware de tip banking în locul aplicației dorite. La câteva săptămâni după ce cercetătorii ESET au apelat la operatorul magazinului cu descoperirea atacului, magazinul a încetat activitatea malițioasă.
Interesant este faptul că, deși cercetătorii ESET au descoperit că direcția greșită de la o aplicație legitimă la una rău intenționată este generală - ceea ce înseamnă că fiecare aplicație a fost înlocuită cu malware-ul bancar, operatorii din spatele campaniei au adăugat o excepție. Probabil pentru a spori șansa de a rămâne mai mult timp prezenți, au introdus o fereastră de șapte zile în care să nu ofere malware după o descărcare malițioasă. În practică, după ce utilizatorul a descărcat aplicația infectată, un modul cookie este setat pentru a preveni predominarea sistemului rău intenționat, ceea ce duce la faptul că utilizatorul primește link-uri curate pentru următoarele șapte zile. După ce trece această perioadă, utilizatorul primește redirecționarea către malware după ce încearcă să descarce orice aplicație din magazin.
Aplicația malițioasă distribuită de magazin la momentul investigației a fost un malware bancar controlat de la distanță, capabil să intercepteze și să trimită SMS-uri, să afișeze o activitate falsă, precum și să descarce și să instaleze alte aplicații
Când este instalat, malware-ul nu redă aplicația pe care utilizatorul intenționează să o instaleze. În schimb, imită Flash Player.
Figura 1 - Aplicația malițioasă servită unui utilizator care crede că descarcă jocul Clash of Clans și jocul legitim oferit aceluiași utilizator în perioada de șapte zile
Pentru a obține mai multe informații despre acest atac și implicațiile sale mai largi, ne-am adresat lui Lukáš Štefanko, cercetător malware la ESET, specializat în malware-ul Android și care a descoperit magazinul de aplicații de distribuire a malware-ului, interviul fiind transcris mai jos.
Un magazin de aplicații care oferă clienților săi programe malware în masă - aceasta pare a fi o amenințare majoră. Pe de altă parte, servind Flash Player în loc de orice aplicație ar fi dorit clienții - este o deghizare destul de minoră ... care este părerea ta?
În primul rând, permiteți-mi să spun că este prima dată când am văzut o piață Android întreagă infectată în acest fel. În cadrul ecosistemului Windows și în browsere, această tehnică este cunoscută ca fiind folosită de ceva timp, dar în ecosistemul Android, este într-adevăr un nou vector de atac.
În ceea ce privește impactul, ceea ce am văzut în acest caz a fost, probabil, un test. Operatorii au folosit în mod greșit controlul asupra magazinului de aplicații. Înlocuirea link-urilor de la toate aplicațiile cu un link ce duce la o singură aplicație malițioasă nu necesită prea mult efort - dar oferă, de asemenea, clienților magazinului o șansă reală de a detecta această înșelătorie. Dacă ați fost atrași în descărcarea unui joc popular și ați ajuns la concluzia că v-ați pricopsit cu Flash Player... cred că l-ați dezinstala imediat și ați raporta problema, nu?
Acest lucru ar putea explica motivul pentru care au fost identificate doar câteva sute de infectări.
Din acest punct de vedere, nu pare a fi mare lucru...
Ei bine, așa cum am spus, probabil a fost un test. Îmi pot imagina un scenariu în care infractorii care controlează culisele magazinului adaugă o funcționalitate malițioasă fiecărei aplicații din magazin. Oferindu-le celor interesați de un anumit joc o versiune troianizată a jocului... asta ar reprezenta un important factor alarmant, iar numărul victimelor ar putea crește semnificativ.
În ceea ce privește atribuirea acestui atac - ați găsit indicii?
Există trei scenarii posibile: un magazin de aplicații construit cu intenția de a răspândi malware, un magazin legitim de aplicații a devenit malițios din cauza unui angajat cu intenții răuvoitoare și un magazin legitim de aplicații a devenit victima unui atacator la distanță.
În ceea ce privește al doilea și al treilea scenariu, aș considera că un astfel de atac nu va trece neobservat de un magazin legitim. Plângerile utilizatorilor, jurnalele de server suspecte și modificările codului ar trebui să fie indicatori suficienți pentru operatorii săi....cu atât mai mult cu cât malware-ul a fost distribuit în cadrul magazinului timp de câteva săptămâni. De asemenea, din pricina interesului în această privință, am contactat operatorii magazinelor cu descoperirile noastre, dar nu am primit nicio reacție.
Cum să vă protejați
Recomandări din partea lui Lukáš Štefanko de la ESET:
- Dacă este posibil, întotdeauna alegeți descărcarea de aplicații din magazinele oficiale de aplicații.
Acest sfat este repetat la infinit dintr-un motiv bun - nu există nicio garanție a măsurilor de securitate în magazinele de aplicații alternative, făcându-le un loc minunat pentru ca autorii malware să-și răspândească "munca" nu numai prin intermediul unor aplicații rău intenționate, ci și în masă, așa cum este ilustrat în acest caz. - Fiți precauți atunci când descărcați conținut de pe internet. Fiți atenți la orice lucru suspect observat în numele fișierului, la dimensiunea sau la extensia sa - acesta este în cazul în care multe amenințări pot fi recunoscute și evitate din timp.
- Utilizați o soluție fiabilă de securitate mobilă pentru a vă proteja de cele mai recente amenințări. În ceea ce privește amenințarea ascunsă în magazinul de aplicații alternative, ESET a detectat-o ca fiind Android/Spy.Banker.IE și împiedică descărcarea acestuia.
PETER STANCIK
CORESPONDENT INDEPENDENT
Lasa un comentariu