Nowe złośliwe aplikacje. Mogą służyć do instalacji Pegasusa
Google Play nigdy nie słynęło ze skutecznych metod weryfikowania bezpieczeństwa dodawanych do sklepów aplikacji. Co prawda Google regularnie implementuje kolejne mechanizmy, które mają odsiewać złośliwe oprogramowanie, to jednak działa efekt skali – sklep jest wielki, więc relatywnie dużo w nim malware. Właśnie zostało zidentyfikowane kolejne.
Fałszywe mendżery plików
Analitycy z firmy Pradeo poinformowali o odnalezieniu kolejnego złośliwego oprogramowania w Google Play, które zwraca uwagę przede wszystkim za sprawą swojej popularności. Wyłącznie z oficjalnego sklepu pobrano je ponad 1,5 mln razy . Nie sposób oszacować, do ilu infekcji doszło za sprawą nieoficjalnych sklepów czy instalacji z plików APK.
Co gorsza, aplikacje te nie są szczególnie wymyślne, a przez to nie budzą wątpliwości. Wręcz przeciwnie, udają one zwykłe menedżery plików, jakich pełno w Google Play. Noszą nazwy File Recovery and Data Recovery (com.spot.music.filedate) oraz File Manager (com.file.box.master.gkd) .
Wydawcą obu aplikacji jest podmiot wang tom, jednak nie należy się tym sugerować – mogło już powstać wiele kolejnych kont deweloperskich, z których udostępniane są złośliwe programy.
Co robią złośliwe aplikacje?
Aplikacje mogą zachęcać za sprawą dopracowanej karty programu w Google Play. Przygotowano ładne grafiki prezentujące interfejs, jednak – co ważniejsze – w danych dotyczących bezpieczeństwa aplikacji nie znajdziemy żadnych podejrzanych zapisów. Z reguły są tam bowiem wykazane wszelkie uprawnienia i zakres zbieranych danych, co może nas ochronić przed instalacją malware.
W przypadku omawianych menedżerów plików jest jednak inaczej. Twórcom udało się zastosować mechanizmy, które przeszły pod radarem systemów Google weryfikujących choćby żądanie uprawnień. W efekcie z karty aplikacji dowiadujemy się, że nie zbierają one w ogóle danych, a wszelka komunikacja jest szyfrowana.
Malware może wyrządzić pokaźne szkody
Zakres danych kradzionych ze smartfonu i wysyłanych na serwery napastników jest pokaźny. Ze smartfonu zostaną przesłane wszelkie dane kontaktów ze wszystkich źródeł, zdjęcia, nagrania audio i wideo, bieżąca lokalizacja, dane operatora, szczegóły dotyczące urządzenia oraz informacje o wersji zainstalowanego systemu operacyjnego .
Analitycy zwracają uwagę, że szczególnie ostatni aspekt może być wykorzystany do prób dalszych ataków. Według Pradeo informacje o wersji systemu służą cyberprzestępcą do identyfikacji niezałatanych luk, które następnie można wykorzystać do instalacji spyware pokroju Pegasusa.