Ir atklāta virkne lietotņu, kas tika lejupielādētas no pakalpojuma Google Play vairāk nekā 300 000 reižu, pirms tika atklāts, ka šīs lietotnes ir banku Trojas zirgi, kas slepeni izspiež lietotāju paroles un divu faktoru autentifikācijas kodus, reģistrēja taustiņu nospiedumus un veica ekrānuzņēmumus.
Lietotnes, kas uzdodas par QR un PDF skeneriem, un kriptovalūtas makiem, piederēja četrām atsevišķām Android ļaunatūru ģimenēm, kuras tika izplatītas četru mēnešu laikā. Tās izmantoja vairākus trikus, lai apietu ierobežojumus, ko Google ir izstrādājusi, cenšoties ierobežot krāpniecisku lietotņu izplatīšanu savā oficiālajā tirgū. Šajos ierobežojumos ietilpst piekļuves pakalpojumu izmantošanas ierobežošana lietotājiem ar redzes traucējumiem, lai novērstu automātisku lietotņu instalēšanu bez lietotāja piekrišanas.
Savā ierakstā mobilo ierīču drošības uzņēmuma ThreatFabric pētnieki raksta: “Šīs Google Play izplatīšanas kampaņas ir ļoti grūti atklāt no automatizācijas viedokļa. Šis mazais nospiedums ir (tiešas) sekas Google Play noteiktajiem atļauju ierobežojumiem.“
Sākums ir pavisam nevainīgs
Sākumā kampaņās tika piegādāta nekaitīga lietotne. Pēc tam, kad lietotne bija instalēta, lietotāji saņēma ziņojumus ar norādījumiem lejupielādēt atjauninājumus, kas instalēja papildu funkcijas. Šīs ietotnes pieprasīja lejupielādēt atjauninājumus no trešo pušu avotiem, taču līdz tam daudzi lietotāji bija tiem uzticējušies. Jāatzīmē, ka vairumam lietotņu sākotnēji VirusTotal pieejamie ļaunprātīgas programmatūras pārbaudes rīki nebija atklājuši nevienu ļaunprātīgas programmatūras pavedienu.
Daudzos gadījumos ļaunatūras operatori manuāli instalēja ļaunprātīgus atjauninājumus tikai pēc tam, kad pārbaudīja inficētā tālruņa ģeogrāfisko atrašanās vietu, vai arī atjaunināja tālruņus pakāpeniski.
Ļaunatūru saime, pazīstama ar nosaukumu Anatsa, ir atbildīga par lielāko inficēšanās gadījumu skaitu. Šis “diezgan progresīvais Android banku trojans” piedāvā dažādas iespējas, tostarp attālinātas piekļuves un automātiskās pārskaitījumu sistēmas, kas automātiski iztukšo cilvēku kontus un nosūta to saturu uz ļaunprogrammatūras operatoriem piederošiem kontiem.
Pēc instalēšanas
Google Play lietotājs ir spiests atjaunināt lietotni, lai turpinātu tās lietošanu. Šajā brīdī no C2 servera(-iem) tiek lejupielādēta [Anatsa] un instalēta ierīcē.
Lietotnes izskatās īstas un noderīgas. Par lietotnēm ir liels skaits pozitīvu atsauksmju. Instalāciju skaits un atsauksmju klātbūtne var pārliecināt Android lietotājus instalēt lietotni. Turklāt šīm lietotnēm patiešām piemīt deklarētā funkcionalitāte; pēc instalēšanas tās darbojas normāli un vēl vairāk pārliecina par to uzticamību.
Kā pasargāt sevi no krāpšanas gadījumiem
Pēdējo desmit gadu laikā Google Play ir regulāri apgrūtinājušas ļaunprātīgas lietotnes. Google ātri novērš krāpnieciskās lietotnes, tiklīdz par tām tiek ziņots, taču uzņēmums nespēj atrast tūkstošiem lietotņu, kas ir iefiltrējušās un inficējušas miljoniem lietotāju.
Ne vienmēr ir viegli pamanīt šos krāpšanas gadījumus. Lietotāju komentāri arī ne vienmēr palīdz, jo krāpnieki bieži vien savus iesniegumus papildina ar viltotām atsauksmēm. Var palīdzēt izvairīšanās no neskaidrām lietotnēm ar mazu lietotāju bāzi, taču šajā gadījumā šī taktika būtu bijusi neefektīva. Svarīgi atcerēties, ka vienmēr ir rūpīgi jāpārdomā, pirms lejupielādēt lietotnes vai lietotņu atjauninājumus no trešo pušu tirgiem.
Labākais padoms, lai pasargātos no ļaunprātīgām Android lietotnēm, ir būt ļoti piesardzīgiem tās instalējot. Un, ja kādu laiku kāda lietotne nav tikusi lietota, vislabāk ir to atinstalēt.
