13.3 C
Athens
Πέμπτη, 1 Δεκεμβρίου, 2022

«Antivirus» εφαρμογές στο Play Store διέδιδαν κακόβουλο λογισμικό

Έμοιαζαν με εφαρμογές ασφαλείας κατά των ιών και άλλων τύπων κυβερνοεπιθέσεων, αλλά εντούτοις διέδιδαν κακόβουλο λογισμικό. Έξι εφαρμογές στο Play Store της Google… παρίσταναν λύσεις προστασίας από ιούς. 

Η Check Point Research (CPR) ανακάλυψε αυτές εφαρμογές που διαδίδουν τραπεζικό κακόβουλο λογισμικό στο Play Store της Google καθώς μεταμφιάζονται ως λύσεις προστασίας από ιούς.

Το κακόβουλο λογισμικό, γνωστό ως «Sharkbot», κλέβει διαπιστευτήρια και τραπεζικές πληροφορίες χρηστών Android. Το Sharkbot δελεάζει τα θύματά του να εισάγουν τα διαπιστευτήριά τους σε παράθυρα που μιμούνται φόρμες εισαγωγής διαπιστευτηρίων. Όταν ο χρήστης εισάγει τα στοιχεία του εκεί, τα παραβιασμένα δεδομένα αποστέλλονται σε έναν κακόβουλο διακομιστή.

Η CPR διαπίστωσε ότι οι δημιουργοί κακόβουλου λογισμικού εφάρμοσαν μια δυνατότητα γεωγραφικής περίφραξης, η οποία αγνοεί τους χρήστες συσκευών στην Κίνα, την Ινδία, τη Ρουμανία, τη Ρωσία, την Ουκρανία ή τη Λευκορωσία.

Οι Έξι Κακόβουλες Εφαρμογές

Τέσσερις από τις εφαρμογές προέρχονταν από τρεις λογαριασμούς προγραμματιστή, τους Zbynek Adamcik, Adelmio Pagnotto και Bingo Like Inc. Όταν η CPR έλεγξε το ιστορικό αυτών των λογαριασμών, είδαν ότι δύο από αυτούς ήταν ενεργοί το φθινόπωρο του 2021. Μερικές από τις εφαρμογές που συνδέονται με αυτούς τους λογαριασμούς αφαιρέθηκαν από το Google Play, αλλά εξακολουθούν να υπάρχουν σε ανεπίσημες αγορές. Αυτό θα μπορούσε να σημαίνει ότι ο φορέας πίσω από τις εφαρμογές προσπαθεί να παραμείνει “κάτω από το ραντάρ” ενώ εξακολουθεί να εμπλέκεται σε κακόβουλη δραστηριότητα.

Τα Θύματα

Η CPR μπόρεσε να συλλέξει στατιστικά στοιχεία για μία εβδομάδα. Κατά τη διάρκεια αυτής της περιόδου, μέτρησε περισσότερες από 1.000 IP θυμάτων. Κάθε μέρα, ο αριθμός των θυμάτων αυξανόταν κατά περίπου 100. Σύμφωνα με στατιστικά στοιχεία του Google Play, οι έξι κακόβουλες εφαρμογές που εντοπίστηκαν από την CPR λήφθηκαν περισσότερες από 11.000 φορές. Τα περισσότερα από τα θύματα ήταν στο Ηνωμένο Βασίλειο και την Ιταλία: το 62% των θυμάτων βρέθηκε στην Ιταλία, 36% στο Ηνωμένο Βασίλειο, 2% σε άλλες χώρες.

Ποσοστό (%) θυμάτων ανά χώρα 

Η Μεθοδολόγια της Επίθεσης

  1. Παρακίνηση του χρήστη να παραχωρήσει δικαιώματα προσβασιμότητας για εφαρμογή
  2. Μετά από αυτό, το κακόβουλο λογισμικό αποκτά τον έλεγχο ενός μεγάλου μέρους της συσκευής του θύματος
  3. Οι φορείς απειλών μπορούν επίσης να στέλνουν ειδοποιήσεις push στα θύματα που περιέχουν κακόβουλους συνδέσμους

Στοιχεία σχετικά με την επίθεση

Η CPR υποθέτει ότι οι συντάκτες του κακόβουλου λογισμικού μιλούν ρωσικά. Επιπλέον, το κακόβουλο λογισμικό δεν θα εκτελέσει την κακόβουλη λειτουργικότητά του εάν η τοπική τοποθεσία της συσκευής βρίσκεται στην Κίνα, την Ινδία, τη Ρουμανία, τη Ρωσία, την Ουκρανία ή τη Λευκορωσία.

Ενημέρωση της Google

Αμέσως μετά τον εντοπισμό αυτών των εφαρμογών που διαδίδουν το Sharkbot, η CPR γνωστοποίησε τα ευρήματα της στην Google. Αφού εξέτασε τις εφαρμογές, η Google προχώρησε στην οριστική κατάργηση αυτών των εφαρμογών στο Google Play store. Την ίδια ημέρα που η CPR ανέφερε τα ευρήματα στην Google, η ομάδα NCC δημοσίευσε μια ξεχωριστή έρευνα για το Sharkbot, αναφέροντας μια από τις κακόβουλες εφαρμογές.

«Εξετάζοντας τον αριθμό εγκαταστάσεων, μπορούμε να υποθέσουμε ότι ο παράγοντας απειλής διάλεξε επιτυχώς τη μέθοδο εξάπλωσης κακόβουλου λογισμικού, επιλέγοντας στρατηγικά την τοποθεσία εφαρμογών στο Google Play που έχει την εμπιστοσύνη των χρηστών. Αυτό που είναι επίσης αξιοσημείωτο εδώ, είναι ότι οι φορείς απειλών προωθούν μηνύματα στα θύματα που περιέχουν κακόβουλους συνδέσμους, γεγονός που οδηγεί σε ευρεία υιοθεσία. Συνολικά, η χρήση push-messages από τους φορείς απειλών, που ζητούν απάντηση από τους χρήστες είναι μια ασυνήθιστη τεχνική διάδοσης. Νομίζω ότι είναι σημαντικό για όλους τους χρήστες Android να γνωρίζουν ότι θα πρέπει να είναι ιδιαίτερα προσεκτικοί πριν κατεβάσουν οποιαδήποτε λύση προστασίας από ιούς από το Play Store. Θα μπορούσε να είναι Sharkbot», ανέφερε ο Alexander Chailytko, Cyber Security, Research & Innovation Manager, Check Point Software.

Συμβουλές Ασφαλείας για Χρήστες Android

  • Εγκαταστήστε εφαρμογές μόνο από αξιόπιστους και επαληθευμένους εκδότες.
  • Aν δείτε μια εφαρμογή από έναν νέο εκδότη, αναζητήστε ανάλογες από έναν αξιόπιστο.
  • Αναφέρετε στην Google τυχόν φαινομενικά ύποπτες εφαρμογές που συναντάτε.

Κοινοποιηση αρθρου

Τελευταια Νεα

Θέσεις στάθμευσης μοτοσικλετών, μοτοποδηλάτων και ποδηλάτων: Όροι και προϋποθέσεις για τη δημιουργία τους

Οι όροι και οι προϋποθέσεις ίδρυσης και λειτουργίας σταθμών μοτοσικλετών, μοτοποδηλάτων, αλλά και ποδηλάτων, ως ανεξάρτητες εγκαταστάσεις ή ως συμπληρωματικές εντός άλλων εγκαταστάσεων, καθορίζονται...

Ψηφιακά η έκδοση άδειας πολιτικού γάμου

Μέσω του gov.gr εκδίδεται πλέον η άδεια πολιτικού γάμου από τους δήμους της χώρας. Σύμφωνα με την Κοινή Απόφαση του Υπουργού Επικρατείας και Ψηφιακής...

Ο Όμιλος SOFTONE υπέγραψε τη Χάρτα Διαφορετικότητας για τις ελληνικές επιχειρήσεις

Θέτοντας σταθερά τις βάσεις για τη διαμόρφωση και διαρκή τήρηση ενός υποστηρικτικού περιβάλλοντος που εκτιμά και διαχειρίζεται την ποικιλομορφία του εργατικού δυναμικού του, ο...

Και μέσω Προξενικών Αρχών η εγγραφή των Ελλήνων του εξωτερικού στο Εθνικό Μητρώο Επικοινωνίας

Ελληνες του Τη δυνατότητα να δηλώνουν μέσω των έμμισθων Προξενικών Αρχών τον αριθμό του κινητού τους τηλεφώνου στο Εθνικό Μητρώο Επικοινωνίας (ΕΜΕπ) έχουν εφεξής...

Ίδρυμα Vodafone: To πρόγραμμα Generation Next δίπλα στους εκπαιδευτικούς της Νάξου  

Digital Storytelling και App Invertor οι θεματικές των  εργαστηρίων για τους εκπαιδευτικούς  Το Ίδρυμα Vodafone, μέσω του προγράμματος Generation Next, συμμετέχει στην πρωτοβουλία της...