Kako malveri u aplikacijama prolaze bezbednosne provere Google Play prodavnice

Mobilni telefoni, 07.08.2023, 10:00 AM

Kako malveri u aplikacijama prolaze bezbednosne provere Google Play prodavnice

Googleov tim za bezbednost objasnio je taktiku koja se zove verzionisanje, koju sajber kriminalci često koriste da bi malverima inficirali Android uređaje pošto njihove aplikacije prođu proces pregleda i bezbednosne kontrole Google Play prodavnice.

Iako verzionisanje nije nova tehnika, teško ju je otkriti. Ona podrazumeva infekciju putem ažuriranja već instaliranih aplikacija ili učitavanje malvera sa servera pod kontrolom napadača (dinamičko učitavanje koda, DCL), koje aplikaciju paktično pretvara u backdoor.

„Jedan od načina na koji zlonamerni akteri pokušavaju da zaobiđu bezbednosne kontrole Google Play prodavnice je verzionisanje“, kaže kompanija u ovogodišnjem izveštaju o trendovima pretnji.„Verzionisanje se dešava kada programer objavi početnu verziju aplikacije u Google Play prodavnici koja se čini legitimnom i prođe naše provere, ali kasnije [aplikacija] dobije ažuriranje sa servera koje menja kod na uređaju krajnjeg korisnika koji omogućava zlonamerne aktivnosti.“

Kriminalci koji koriste ovu tehniku obično ciljaju na korisničke akreditive, podatke i finansije.

Google kaže da sve aplikacije i zakrpe koje se podnose prolaze kroz rigorozni PHA (potencijalno štetna aplikacija) skrining, ali „neke od tih kontrola“ se zaobilaze sa DCL.

Googleov tim je objasnio da aplikacije za koje se utvrdi da to rade krše politiku Google Play prodavnice o obmanjujućem ponašanju i mogu biti označene kao backdoor. Prema smernicama Centra za politiku Play prodavnice, aplikacijama koje se distribuiraju preko Google Play izričito je zabranjeno da se menjaju, zamenjuju ili ažuriraju na bilo koji drugi način osim putem zvaničnog mehanizma ažuriranja koji obezbeđuje Google Play. Pored toga, aplikacijama je strogo zabranjeno da preuzimaju izvršni kod (kao što su dex, JAR ili .so file) iz spoljnih izvora u zvaničnu prodavnicu Android aplikacija.

U maju je ESET otkrio aplikaciju za snimanje ekrana pod nazivom „iRecorder - Screen Recorder“ koja je bila bezopasna skoro godinu dana nakon što je prvi put objavljena na Google Play, da bi posle godinu dana aplikacija bila izmenjena na način da omogući špijuniranje korisnika.

Primer koji je naveo Googleov tim je malver SharkBot, koju je otkriven u oktobru 2021. SharkBot je poznat po tome što koristi DCL metod, zahvaljujući kome se više puta pojavljivao u Play prodavnici maskiran u bezazlene aplikacije. SharkBot je bankarski malver koji vrši neovlašćene transfere novca sa kompromitovanih uređaja koristeći protokol Automated Transfer Service (ATS). Da bi izbegli otkrivanje, distributeri SharkBota primenjuju sada uobičajenu strategiju objavljivanja verzija sa ograničenom funkcionalnošću na Google Play, čime prikrivaju sumnjivu prirodu aplikacija. Međutim, kada korisnik preuzme trojanizovanu aplikaciju, on preuzima i punu verziju malvera.

Sharkbot se distibuira kamufliran kao antivirusni softver i razni sistemski programi. Do sada je zarazio hiljade korisnika putem aplikacija koje su prošle provere u Google Play prodavnici.

ThreatFabric je nedavno otkrio da distributeri malvera iskorišćavaju grešku u Androidu kako bi zlonamerne aplikacije predstavili kao benigne tako što menjaju komponente aplikacije tako da aplikacija kao celina ostaje validna.

Sajber kriminalci mogu da imaju nekoliko aplikacija objavljenih u prodavnici istovremeno pod različitim nalozima programera, međutim, samo se jedna ponaša kao zlonamerna, dok je druga rezervna kopija koja se koristi nakon uklanjanja prve“, objasnili su stručnjaci ThreatFabrica. „Takva taktika pomaže akterima da održavaju veoma duge kampanje, minimizirajući vreme potrebno za objavljivanje još jednog droppera i nastavak kampanje distribucije.“

Da bi se umanjili potencijalni rizici, preporuka je da se korisnici Androida drže pouzdanih izvora za preuzimanje aplikacija i da omoguće Google Play Protect da bi dobijali obaveštenja kada se na uređaju pronađe potencijalno štetna aplikacija (PHA).

Foto: Denny Müller / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Istraživači iz firme ThreatFabric primetili su na Google Play pet aplikacija koje je preuzelo više od 150.000 korisnika koji su na taj način infic... Dalje

Android malver XLoader se širi preko SMS poruka

Android malver XLoader se širi preko SMS poruka

Istraživači iz kompanije McAfee otkrili su novu verziju Android malvera XLoader koji se širi uglavnom putem SMS poruka koje sadrže skraćeni URL k... Dalje

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

U Apple App Storeu pojavila se lažna aplikacija LassPass za koju se pretpostavlja da se koristi kao aplikacija za krađu lozinki korisnika. Kompanija... Dalje

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google pokreće pilot program za borbu protiv finansijskih prevara blokiranjem bočnog učitavanja Android APK fajlova koji zahtevaju pristup rizični... Dalje