Kako malveri u aplikacijama prolaze bezbednosne provere Google Play prodavnice

Mobilni telefoni, 07.08.2023, 10:00 AM

Googleov tim za bezbednost objasnio je taktiku koja se zove verzionisanje, koju sajber kriminalci često koriste da bi malverima inficirali Android uređaje pošto njihove aplikacije prođu proces pregleda i bezbednosne kontrole Google Play prodavnice.

Iako verzionisanje nije nova tehnika, teško ju je otkriti. Ona podrazumeva infekciju putem ažuriranja već instaliranih aplikacija ili učitavanje malvera sa servera pod kontrolom napadača (dinamičko učitavanje koda, DCL), koje aplikaciju paktično pretvara u backdoor.

„Jedan od načina na koji zlonamerni akteri pokušavaju da zaobiđu bezbednosne kontrole Google Play prodavnice je verzionisanje“, kaže kompanija u ovogodišnjem izveštaju o trendovima pretnji.„Verzionisanje se dešava kada programer objavi početnu verziju aplikacije u Google Play prodavnici koja se čini legitimnom i prođe naše provere, ali kasnije [aplikacija] dobije ažuriranje sa servera koje menja kod na uređaju krajnjeg korisnika koji omogućava zlonamerne aktivnosti.“

Kriminalci koji koriste ovu tehniku obično ciljaju na korisničke akreditive, podatke i finansije.

Google kaže da sve aplikacije i zakrpe koje se podnose prolaze kroz rigorozni PHA (potencijalno štetna aplikacija) skrining, ali „neke od tih kontrola“ se zaobilaze sa DCL.

Googleov tim je objasnio da aplikacije za koje se utvrdi da to rade krše politiku Google Play prodavnice o obmanjujućem ponašanju i mogu biti označene kao backdoor. Prema smernicama Centra za politiku Play prodavnice, aplikacijama koje se distribuiraju preko Google Play izričito je zabranjeno da se menjaju, zamenjuju ili ažuriraju na bilo koji drugi način osim putem zvaničnog mehanizma ažuriranja koji obezbeđuje Google Play. Pored toga, aplikacijama je strogo zabranjeno da preuzimaju izvršni kod (kao što su dex, JAR ili .so file) iz spoljnih izvora u zvaničnu prodavnicu Android aplikacija.

U maju je ESET otkrio aplikaciju za snimanje ekrana pod nazivom „iRecorder - Screen Recorder“ koja je bila bezopasna skoro godinu dana nakon što je prvi put objavljena na Google Play, da bi posle godinu dana aplikacija bila izmenjena na način da omogući špijuniranje korisnika.

Primer koji je naveo Googleov tim je malver SharkBot, koju je otkriven u oktobru 2021. SharkBot je poznat po tome što koristi DCL metod, zahvaljujući kome se više puta pojavljivao u Play prodavnici maskiran u bezazlene aplikacije. SharkBot je bankarski malver koji vrši neovlašćene transfere novca sa kompromitovanih uređaja koristeći protokol Automated Transfer Service (ATS). Da bi izbegli otkrivanje, distributeri SharkBota primenjuju sada uobičajenu strategiju objavljivanja verzija sa ograničenom funkcionalnošću na Google Play, čime prikrivaju sumnjivu prirodu aplikacija. Međutim, kada korisnik preuzme trojanizovanu aplikaciju, on preuzima i punu verziju malvera.

Sharkbot se distibuira kamufliran kao antivirusni softver i razni sistemski programi. Do sada je zarazio hiljade korisnika putem aplikacija koje su prošle provere u Google Play prodavnici.

ThreatFabric je nedavno otkrio da distributeri malvera iskorišćavaju grešku u Androidu kako bi zlonamerne aplikacije predstavili kao benigne tako što menjaju komponente aplikacije tako da aplikacija kao celina ostaje validna.

Sajber kriminalci mogu da imaju nekoliko aplikacija objavljenih u prodavnici istovremeno pod različitim nalozima programera, međutim, samo se jedna ponaša kao zlonamerna, dok je druga rezervna kopija koja se koristi nakon uklanjanja prve“, objasnili su stručnjaci ThreatFabrica. „Takva taktika pomaže akterima da održavaju veoma duge kampanje, minimizirajući vreme potrebno za objavljivanje još jednog droppera i nastavak kampanje distribucije.“

Da bi se umanjili potencijalni rizici, preporuka je da se korisnici Androida drže pouzdanih izvora za preuzimanje aplikacija i da omoguće Google Play Protect da bi dobijali obaveštenja kada se na uređaju pronađe potencijalno štetna aplikacija (PHA).

Foto: Denny Müller / Unsplash