Złośliwe aplikacje na Androida sprytnie ukryte w Sklepie Play. Korzystały z sensorów ruchu
Mimo starań podejmowanych przez Google, jak Google Play Protect, wciąż oficjalny sklep z aplikacjami na Androida pełny jest oprogramowania o delikatnie mówiąc wątpliwej jakości. Dopiero co dowiedzieliśmy się o nawigacjach GPS, które służą przede wszystkim do wyświetlania reklam, a specjaliści z TrendMicro zwracają już uwagę na nowe zagrożenie. Co ciekawe, wykorzystujące sensory wbudowane w smartfon.
Dwie aplikacje zmyliły zabezpieczenia Google
Jak zauważa serwis Niebezpiecznik, aplikacje na Androida korzystają z coraz bardziej finezyjnych technik, aby nie wzbudzić podejrzeń i zdobyć miejsce w sklepie Google Play. Niestety, wciąż wielu użytkowników nie zachowuje szczególnej uwagi podczas pobierania mniej popularnych aplikacji. W związku z tym, szkodliwe oprogramowanie dociera często na tysiące smartfonów i tabletów.
Głównymi bohaterami nowego zagrożenia są dwie aplikacje – Currency Converter i BatterySaverMobi. Warto zauważyć, że druga aplikacja mająca wydłużyć czas pracy na akumulatorze, zdobyła wysoką średnią ocen – 4,5 na maksymalnych 5 gwiazdek. Co więcej, została pobrana ponad 5 tys. razy. Nic więc dzinwego, że na pierwszy rzut oka, dla wielu użytkowników nie wzbudzała żadnych podejrzeń. W końcu, jak sugerują wysokie oceny, najwidoczniej mamy do czynienia z oprogramowaniem, które spełnia oczekiwania. Z kolei Currency Converter to jedna z wielu setek aplikacji służących do przeliczenia walut. Na szczęście obie zostały już usunięte ze Sklepu Play.
Wymienionym aplikacjom udało się zmylić zabezpieczenia stosowane przez Google. Udawały one zwykłe aplikacje, ale w rzeczywistości były to tzw. droppery – oprogramowanie starające się skłonić użytkownika do nadania odpowiednich uprawnień, aby następnie móc pobrać trojana. Na urządzenie ściągane było oprogramowanie, które łączyło się serwerami C&C w domenie połączonej z Anubisem.
Odkryty trojan przypomina Anubisa, który w 2018 roku został wykorzystany do wielu ataków. Bankbot.Anubis specjalizował się w kradzieży danych, związanych z aplikacjami bankowymi. Potrafił on przechwycić miejsca dotknięć wyświetlacza, np. podczas pisania na klawiaturze, a także wykonywał zrzuty ekranu. Jakby tego było mało, w wybranych wariantach mógł wysyłać dane o lokalizacji użytkownika, a nawet nagrywać dźwięk. Warto zaznaczyć, że wówczas atak był wycelowany m.in w polskich użytkowników i jak podaje Orange, jego aktywność przekraczała 40 proc. całej złośliwej aktywności w sieci mobilnej Orange Polska.
Aplikacje Currency Converter i BatterySaverMobi korzystały z sensorów ruchu
Co ciekawe, twórcy szkodliwych aplikacji zdecydowali się wykorzystać sensory wbudowane w smartfon. Złośliwy kod był bowiem uruchamiany wyłącznie, gdy smartfon był w ruchu, np. wykrył ruch ręki. Jeśli natomiast urządzenie leżało na biurku, to aplikacje nie podejmowały żadnych szkodliwych działań.
Po wykryciu ruchu wyświetlany był komunikat o dostępnej aktualizacji systemu. Podejrzenie mogła wzbudzić informacja o małym rozmiarze aktualizacji – często było to nieznacznie ponad 1 MB. Jak zwraca uwagę Niebezpiecznik, twórcy najwyraźniej założyli, że aplikacja działająca na emulatorze nie dostanie żadnych danych z sensorów ruchu. Celem było przedostanie się do Google Play – badacze bezpieczeństwa i pracownicy Google mogą sprawdzać aplikacje właśnie na emulatorach. W związku z tym, ich dodatkowe złośliwe funkcje nie były wówczas uruchamiane.