Fałszywy sklep z aplikacjami na Androida. Jego użytkownicy instalowali sobie spyware

Eksperci z firmy ESET wykryli fałszywy sklep z aplikacjami, a w nim zainfekowane wersje m.in. Telegrama , WhastAppa czy modułu aktualizacji systemu. Takie narzędzia wykorzystywali przestępcy z grupy APT-C-23, aby infekować smartfony użytkowników Androida.

fot. dobreprogramy
fot. dobreprogramy
Arkadiusz Stando

05.10.2020 | aktual.: 05.10.2020 14:15

Grupa cyberprzestępców APT-C-23 jest aktywna co najmniej od 2017. W kwietniu tego roku zaczęła wykorzystywać nową wersję oprogramowania szpiegującego, z pomocą którego infekuje smartfony swoich ofiar. Malware pozwala teraz śledzić aktywność użytkowników, nagrywać zawartość ekranu, a także uzyskiwać dostęp do powiadomień.

Złośliwe oprogramowanie potrafi także usuwać powiadomienia aplikacji odpowiedzialnych za bezpieczeństwo w niektórych modelach telefonów. Jednym ze sposobów jego dystrybucji był fałszywy sklep z aplikacjami. Znajdowało się w nim wiele kopii popularnych programów, w tym Telegram, WhatsApp, PUBG Mobile a nawet moduł aktualizacji systemu Android.

Jak wygląda proces infekcji urządzenia?

Złośliwe aplikacje są przemieszane z linkami kierującymi do bezpiecznych wersji programów, najprawdopodobniej w celu uśpienia czujności ofiary. Co ciekawe, aby pobrać zainfekowane wersje, trzeba podać sześciocyfrowy kod z kuponu. Zdaniem badaczy ma to na celu ograniczyć rozprzestrzenianie się trojana wyłącznie do określonej grupy celów obranej przez cyberprzestępców.

Obraz

Po instalacji złośliwa aplikacja prosi o uprawnienia do odczytywania powiadomień, sugerując, że jest to wymagane do poprawnego działania funkcji szyfrowania korespondencji, wyłączenia funkcji Play Protect (wbudowanego mechanizmu bezpieczeństwa systemu Android) oraz nagrywania ekranu, twierdząc, że potrzebuje uprawnień do używania bezpiecznego wideo chatu. W następnej kolejności instalowana jest prawdziwa wersja aplikacji, pod którą podszywa się wirus, a ten zaczyna działać w tle, zbierając dane o użytkowniku.

Jak wskazują eksperci, opisana wyżej ścieżka to prawdopodobnie jeden z kilku sposobów dystrybucji wirusa. Niezależnie jednak od ścieżki infekcji, jego działanie jest takie samo i pozwala uzyskać przestępcom niemal nieograniczony dostęp do zainfekowanego urządzenia.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (7)