Незабавно деинсталиране на тези APK файлове: списък на приложенията двойници във вашия телефон
Вашият смарт телефон работи за някой различен. Добре пристигнали в ерата на MaaS.
С възходящата известност на Android смарт телефоните в разрастващите се страни и все по-голямата наличност на магазини за приложения на трети страни, киберпрестъпниците стартираха огромна акция, която съчетава два рискови метода – кражба на удостоверения и машинация с кликване – в скрита, само че извънредно печеливша офанзива със злотворен програмен продукт.
Използвайки особено основани APK файлове, те маскират зловредния програмен продукт като законни приложения и ги популяризират отвън формалните канали, в това число посредством фишинг имейли и подправени промоционални страници на известни марки.
Самите приложения са показани като известни услуги, приложения за награди, помощни стратегии, хазартни игри или принадлежности от известни компании, което ускорява доверието на потребителите. Инсталирайки сходно приложение, жертвата в действителност получава достъп до разнообразни систематични запаси – от геолокация и описи с контакти до дневници на повикванията и неповторими идентификатори на устройствата. Освен че събират сензитивна информация, тези стратегии започват скрити механизми за подправяне на трафика и автоматизирано взаимодействат с рекламните системи, генерирайки изкуствени кликвания, изгледи и съоръжения.
При разбора бяха разкрити голям брой APK файлове с друга степен на трудност на осъществяване, само че с обща архитектура и принадлежащи към еднакъв клъстер от злотворен програмен продукт. Някои мостри са фокусирани само върху генерирането на подправени рекламни взаимоотношения, с малко или никакви други функционалности. Други са ориентирани към кражба на идентификационни данни, като имитират интерфейси на банкови или обществени услуги.
Има и такива, които скрито събират потребителските данни, като се показват за игри или комунални услуги. Съществуват даже стратегии, които дават обещание награди за елементарни дейности, само че злоупотребяват с разрешенията и скрито предават информация на отдалечени сървъри. Отделна категория се състои от хазартни приложения, които се крият зад законови малки врати и събират както финансови, по този начин и персонални данни.
Един от най-забележителните случаи е обвързван с подправен клиент за Фейсбук, популяризиран посредством подправени страници с адреси, имитиращи формалните, и употребяващ набор от позволения, в това число достъп до точното местонахождение, под прикритието на систематични съставни елементи.
След като бъде конфигурирано, приложението изтегля конфигурации, криптирани с AES-ECB, и трансформира държанието си според от средата на осъществяване: когато работи във виртуализирани системи или емулатори като Genymotion, то може да забави активирането на зловредния потребен товар или въобще да не е интензивно. В действителна среда приложението открива връзка със сървърите за ръководство, маскирани като услуги за събиране на телеметрия, и предава данни за платформата, местоположението, метаданните на потребителя и други параметри.
Техническият разбор разкрива потреблението на ApkSignatureKillerEx – инструмент, който заобикаля инспекцията на подписа на пакета за Android и инжектира вторични съставни елементи, като да вземем за пример скрита „ origin.apk “, работеща във фонов режим. Зловредната мрежова инфраструктура е проведена към сегментирани поддомейни с йерархична конструкция и адаптивно държание. Някои екземпляри са характерни за дадена страна или език, което допуска целенасочена тактика. Кодът съдържа детайли на банален китайски език, сървърите са ситуирани в Alibaba Cloud, а архитектурата следва модела „ злотворен програмен продукт като услуга “ (MaaS) – с опция за мащабиране на офанзивите и потребление на откраднати данни в бъдеще.
Според отчет на Trustwave акцията съчетава два мощни претекста – финансова облага посредством рекламни измами и стратегическо събиране на идентификационни данни за възможни бъдещи офанзиви. Това акцентира хибридния темперамент на днешните закани: повърхностната активност може да бъде прикритие за доста по-дълбока и дълготрайна употреба.
За да се сведат до най-малко рисковете, специалистите предлагат да се конфигурират приложения единствено от доверени източници, да се обръща внимание на оферти за евакуиране на APK файлове от известия или промоции и деликатно да се проучват желаните позволения.
