Aplikacije koje mogu da prevare zaštite Google Play prodavnice kupuju se na mračnom vebu i za 20000 dolara

Mobilni telefoni, 12.04.2023, 12:30 PM

Mobilni malveri najčešće se distibuiraju preko veb sajtova i sumnjivih prodavnica aplikacija, ali sajber-kriminalci s vremena na vreme uspevaju da ih plasiraju u zvanične prodavnice aplikacija kao što je Google Play.

Kontrola aplikacija u zvaničnim prodavnicama je rigorozna, a svaka aplikacija prolazi proces provere pre objavljivanja. Međutim, autori malvera i neželjenog softvera koriste razne trikove da bi izbegli ove provere. Na primer, oni mogu da objave benignu aplikaciju, a zatim da je ažuriraju zlonamernim kodom i tako zaraze uređaje onih koji su je već instalirali, kao i uređaje novih korisnika.

Takve aplikacije se uklanjaju sa Google Play čim se primete, ali često tek pošto ih preuzmu hiljade, desetine hiljada pa i stotine hiljada korisnika.

Istraživači bezbednosti iz kompanije Kaspersky analizirali su ponudu i potražnju na tržištu malvera na mračnom vebu koje ima sopstvena pravila i tržišne cene. Podaci su prikupljeni u periodu od 2019. do 2023., sa devet najpopularnijih foruma mračnog veba koji nude ovakvu „robu“ i usluge.

Istraživači su tako otkrili da se zlonamerni programi koji mogu da trojaniziraju Android aplikacije, a koji se koriste da se izbegne odbrana Google Play prodavnice, u kriminalnom podzemlju prodaju po ceni od 20.000 dolara.

Dropper aplikacije su primarno sredstvo za sajber-kriminalce koji žele da se ušunjaju sa svojim malverima u Google Play prodavnicu. Takve aplikacije se često maskiraju u naizgled bezazlene aplikacije, da bi dobile ažuriranja nakon procesa pregleda i kada već imaju značajnu korisničku bazu.

Ovo se postiže korišćenjem programa za učitavanje koji je odgovoran za ubacivanje zlonamernog koda u čistu aplikaciju, koja je dostupna za preuzimanje u zvaničnoj prodavnici. Od korisnika koji instaliraju aplikaciju se traži da joj daju intruzivne dozvole kako bi se omogućile zlonamerne aktivnosti.

„Kao i na legitimnim forumima za prodaju robe, postoje razne ponude na mračnom vebu za različite potrebe i kupce sa različitim budžetima“, navodi se u izveštaju kompanije Kaspersky. „Da bi objavili zlonamernu aplikaciju, sajber kriminalcima je potreban Google Play nalog i zlonamerni kod za preuzimanje (Google Play Loader).“

Druga opcija je kupovina Google Play naloga programera - bilo da je hakovan ili novootvoren od strane prodavaca. Cene se kreću između 60 i 200 dolara, u zavisnosti od broja već objavljenih aplikacija i broja preuzimanja. Nalozi programera aplikacija koji nisu zaštićeni jakom lozinkom ili dvofaktornom autentifikacijom (2FA) mogu se lako hakovati i staviti na prodaju, čime se omogućava drugim sajber-kriminalcima da ubace malver u postojeće aplikacije.

Treća alternativa je usluga skrivanja zlonamernog APK fajla u legitimnoj aplikaciji i distribucija malvera putem linkova u porukama i sumnjivih veb sajtova koji reklamiraju krekovane igre i softver.

Ova usluga, za razliku od loadera, košta manje zbog činjenice da aplikacije nisu dostupne preko Google Play prodavnice. Ipak, iako najmanje efikasna, ova tehnika je korišćena za isporuku Android bankovnih trojanaca kao što su SOVA i Xenomorph.

Cena loadera kreće se između 2000 i 20000 dolara, u zavisnosti od složenosti malvera i zlonamernog koda, kao i od dodatnih funkcija.

„Najpopularnije kategorije aplikacija za sakrivanje malvera i neželjenog softvera uključuju kripto trackere, finansijske aplikacije, skenere QR kodova, pa čak i aplikacije za upoznavanje“, navodi se izveštaju.

„Sajber kriminalci takođe ističu koliko preuzimanja ima legitimna verzija aplikacije, što znači koliko potencijalnih žrtava može biti zaraženo ažuriranjem aplikacije i dodavanjem zlonamernog koda u nju. Najčešće se navodi 5000 preuzimanja ili više“, kažu istraživači.

Sajber kriminalci takođe mogu platiti dodatno da bi sakrili kod aplikacije i otežali njeno otkrivanje.

„Da bi povećali broj preuzimanja zlonamerne aplikacije, mnogi napadači takođe nude kupovinu instalacija usmeravajući saobraćaj preko Google oglasa i privlačeći više korisnika da preuzmu aplikaciju. Troškovi su drugačiji za svaku zemlju“, navodi se u izveštaju.

Što se tiče „poslovnog modela“ koji stoji iza ovih aplikacija, sajber-kriminalci nude ili deo profita od malvera, rentiranje malvera ili kupovinu naloga ili malvera.

„Zlonamerne mobilne aplikacije su i dalje jedna od najvećih sajber pretnji koje ciljaju korisnike, sa više od 1,6 miliona mobilnih napada otkrivenih 2022. godine“, kaže Alisa Kulišenko, stručnjak za bezbednost u kompaniji Kaspersky. „Istovremeno se povećava i kvalitet rešenja za sajber bezbednost koja štite korisnike od ovih napada.“

Foto: Kevin Grieve / Unsplash