Lepiej sprawdź telefon. Jeśli zainstalowałeś te pliki, możesz mieć duże kłopoty
W Sieci pojawiły się fałszywe instalatory programów, które stanowią bezpośrednie zagrożenie dla cyberbezpieczeństwa smartfonów i pecetów. Choć na pierwszy rzut oka sprawiają wrażenie, że mamy do czynienia z instalatorami popularnych antywirusów, to w praktyce programy kradną dane i nadużywają uprawnień.
Trojany w postaci antywirusów
Producent oprogramowania antywirusowego Trellix poinformował o nowej kampanii dystrybucji złośliwego oprogramowania. Trojany przybierają postać popularnych antywirusów, Avasta, Bitdefendera, Malwarebytes czy właśnie produktów Trelliksa i infekują smartfony z Androidem i komputery z Windowsem złośliwym oprogramowaniem.
Kluczowe w dystrybucji trojanów są strony, z których można pobrać pliki instalacyjne. Dlatego warto zapamiętać ich adresy i nazwy tychże plików:
- avast-securedownload.com - Avast.apk,
- bitdefender-app.com - setup-win-x86-x64.exe.zip,
- malwarebytes.pro - MBSetup.rar,
- Trellix - AMCoreDat.exe.
Na stronach znajdziemy wiernie kopie prawdziwych witryn producentów oprogramowania antywirusowego, przez co można nawet nie zauważyć, że zamiast antywirusów pobiera się malware.
NASK pilnie ostrzega studentów. Uważaj na takie wiadomościFałszywe APK antywirusa Avast
W przypadku podróbek Avasta cyberprzestępcy skupili się na infekowaniu przede wszystkim smartfonów z Androidem. Na swoich stronach, zamiast odsyłać do karty antywirusa w sklepie Google Play, umożliwiają pobranie pliku APK do samodzielnej, ręcznej instalacji na urządzeniach z Androidem.
Dzięki temu po instalacji fałszywy Avast może nadużywać uprawnień, które są następnie wykorzystywane do zdalnego instalowania i usuwania innych zainstalowanych na urządzeniu aplikacji, odczytywania rejestru połączeń, tresci SMS-ów, listy kontaktów, plików w pamięci i informacji o urządzeniu.
Trojan może także modyfikować ustawienia sieci, nagrywać dźwięk bez wiedzy użytkownika, wyłączać ochronę klawiatury wirtualnej (co służy do kradzieży wpisywanych haseł) czy zmieniać tapetę.
Pecetowe trojany o szerokich możliwościach
Nie mniej groźne są trojany przedstawiające się jako instalatory BitDefednera, Malwarebytes i Trelliksa, choć w ich przypadku atakowane są nie urządzenia mobilne, lecz komputery z Windowsem. Podobnie, jak w przypadku Avasta, wszystko zaczyna się od wiernej kopii strony oprogramowania antywirusowego.
Po pobraniu archiwum z instalatorem lub pliku wykonywalnego oprogramowanie zbiera szczegółowe informacje o komputerze i wykrada je, przesyłając na zewnętrzne serwery. W ręce napastników trafiają m.in. ciasteczka z przeglądarek, historia przeglądania, dane o urządzeniu, parametrach ekranu, co służy identyfikacji konkretnych zainfekowanych maszyn w celu dalszych ataków.
Uwaga na wyniki w Google
Możliwości złośliwego oprogramowania mogą się różnić i być rozszerzone np. o kradzież danych logowania do zainstalowanych na urządzeniu komunikatorów. Można się spodziewać, że osoby odpowiadające za kampanię będą próbowały wykupić reklamy zapewniające wysoką pozycję w wynikach wyszukiwania Google. Zachodzić może ryzyko, że zamiast na prawdziwe witryny, będziemy trafiać na fałszywe witryny z trojanami, co już nie raz miało miejsce.