Înainte de lansarea versiunii Prisma pentru Android, o aplicație populară de editare foto, versiuni false ale aplicației Prisma au apărut pe Magazinul Google Play.

Cercetătorii ESET au descoperit aplicații false Prisma de diferite tipuri, inclusiv cu troienii periculoși ce au drept scop descărcarea. Echipa de securitate Google Play le-a eliminat din magazinul oficial pentru Android datorită observațiilor realizate de ESET. Înainte de acest punct, copii ale aplicației Prisma au avut peste 1.5 milioane de descărcări din partea fanilor.

Prisma este un editor unic de fotografie lansat de laboratoarele Prisma, Inc . Lansat în prima fază pentru iOS, a primit un rating excelent în rândul utilizatorilor de pe iTunes, magazinul oficial de aplicații pentru Apple. Utilizatorii Android au fost dornici să încerce aplicația și mulți nu au putut aștepta să-l vadă pe Google Play, unde Prisma a anunțat că a programat lansarea pe 24 iulie.

Ca în cazul multor alte aplicații populare de pe Google Play din trecut, versiunile false au inundat magazinul înainte de data oficială de lansare, crescând astfel numărului fanilor nerăbdători.

Funcționalitatea aplicațiilor false Prisma

Cele mai multe dintre aplicațiile false Prisma găsite pe Google Play nu aveau nicio funcționalitate de editare foto; în schimb, acestea afișau numai anunțuri sau sondaje false, ademeneau utilizatorul să furnizeze informații personale sau să se aboneze la servicii false (și costisitoare) SMS. Unele au avut de fapt, o funcționalitate de editare de bază, dar în principal, servea utilizatorului un flux de reclame pop-up sau afișa mesaje menite să sperie pentru a convinge utilizatorul că dispozitivului lor a fost infectat cu malware.

Figura 1: Mesaje menite să provoace teamă afișate după lansare

Cele mai periculoase aplicații Prisma false găsite pe Google Play înainte de lansarea aplicației (autentice) Prisma au fost troieni ce aveau drept scop descărcarea, detectați de ESET ca Android/TrojanDownloader.Agent.GY. Spre deosebire de omologii lor care arătau anunțuri și sondajel enervante, acești troieni lucrează în spatele scenei, ascunzându-și pictogramele de dispozitiv.

Ele vor trimite informații despre dispozitiv la serverul de C & C și, la cerere, vor descărca module suplimentare și le vor executa. Când am replicat această infiltrare, troianul a descărcat și a executat un modul suplimentar furând informații sensibile, cum ar fi numărul de telefon, numele operatorului, numele țării, limba și așa mai departe. Cu toate acestea, modulele descărcate pot avea funcționalități diferite puse în aplicare.

Printre cei cinci troieni de descărcare descoperiți în Google Play, două au o funcționalitate de tip phishing implementată, care ar putea fi, probabil, executată prin intermediul modulului descărcat. Afișând o cerere falsă de actualizare a sistemului de operare al dispozitivului la Android 6.0, tentează utilizatorul să introducă acreditările contului Google în formularul de autentificare fals.

Figura 2: Activitatea de phishing

Text tradus:

"Для обновления вашего устройства необходимо авторизоваться!

Ваша версия Android:

Доступная версия: 6.0 "

"Pentru a actualiza dispozitivul, trebuie sa va autentificați!

Versiunea dvs. de Android:

Versiune disponibilă: 6.0 "

"Аккаунт Один. Весь мир Google!

Подождите, идет проверка ... "

"Un singur cont. Google oferă acces la întreaga lume!

Stați puțin, există o verificare ... "

Din cauza capacităților lor de descărcare, familia de malware Android/TrojanDownloader.Agent.GY prezintă un risc grav pentru mai mult de 10.000 de utilizatori Android care au instalat aceste aplicații periculoase, înainte ca acestea să fie retrase din magazinul Google Play.

Figura 3: Troieni găsiți pe Google Play

Chiar înainte de lansare...

Datorită succesului Prisma pe platforma iOS, a fost clar că această aplicație va fi așteptată cu nerăbdare de către utilizatorii Android. Astfel de situații atrag adesea infractorii care au lansat aplicații false – fie copii sau diferite variante, de la tutoriale la înșelătorii – pe Google Play pentru a crește valul de agitație. Folosind pictograme înșelătoare, nume de aplicații, numele dezvoltatorului și / sau comentarii false, ei fac bani din anunțurile afișate, accesările false, escrocherii menite să facă bani ... sau, în cel mai rău caz, ransomware, livrat victimei prin intermediul unui troian de tip downloader.

În trecut, am asistat la o mulțime de cazuri de aplicații de ce încercau să mărească valul de popularitate de pe Google Play. Cele mai recente exemple au fost falsurile aplicației Pokémon Go. De asemenea, fanii GTA 5 au fost vizați de aplicațiile false înainte de lansarea oficială a celebrului joc, iar același model a fost observat în conexiune cu aplicația cunoscută MSQRD, care a apărut cu numeroase copii în magazinul Google Play. Multe alte aplicații populare - cum ar fi My Talking Angela, Dubsmash sau Surfers Subway - au fost precedate de copii ce aveau un conținut indecent.

Concluzie

Încercarea de a descărca o aplicație populară înainte de lansarea oficială este o idee foarte proastă deoarece șansele de a descărca o aplicație reală sunt minime, în timp ce riscul de a descărca un imitator rău intenționat este mare. Acest lucru este adevărat, chiar și în cazul Google Play, cu toate mecanismele de securitate ale gigantului tehnologic din spatele său. Pentru utilizatori, este dificil să determine dacă o anumită aplicație este autentică sau nu. Infractorii folosesc adesea pictograme foarte similare, nume de aplicații, abonamente și chiar capturi de ecran pentru a induce în eroare utilizatorii.

Figura 4: Exemplu de aplicatie falsă (dreapta) mimând originalul (stânga)

Recomandările experților ESET:

• Urmați regulile de bază pentru "o utilizarea în siguranță a aplicațiilor Android":
• Descărcați numai din surse de încredere
• Verificați ghidul de clienți și concentrați-vă pe comentarii negative (țină cont de faptul că cele pozitive pot fi fabricate)
• Citiți termenii și condițiile aplicației, concentrați-vă pe permisiuni
• Utilizați o soluție de securitate de calitate pentru dispozitivele mobile

Atunci când există un dubiu în jurul aplicației dorite, luați în considerare, de asemenea, următoarele sfaturi suplimentare:

• Probabil, că vă veți confrunta cu falsuri, pe lângă aplicația originală, astfel încât trebuie să fiți mai atenți ca niciodată
• Verificați temeinic numele aplicației și numele dezvoltatorului - trebuie să se potrivească exact, nu trebuie doar să semene cu ce vă așteptați

LUKAS STEFANKO
CORESPONDENT INDEPENDENT