U Play prodavnici otkriveno na desetine aplikacija koje su krale lozinke

Mobilni telefoni, 14.12.2017, 10:00 AM

Uprkos brojnim naporima Googlea kao što je pokretanje programa za bagove i sprečavanje aplikacija da koriste Usluge pristupačnosti, zlonamerne aplikacije nekako uspevaju da uđu u Play prodavnicu i inficiraju Android uređaje.

To se još jednom dogodilo a ovog puta je u Play prodavnici otkriveno najmanje 85 malicioznih aplikacija koje su krale lozinke od korisnika ruske društvene mreže VK.com. Aplikacije su preuzeli milioni korisnika.

Najpopularnija među njima je aplikacija maskirana u igru, koja je preuzeta više od milion puta. Kada se prvi put pojavila u Play prodavnici, u martu ove godine, ova aplikacija nije sadržala maliciozni kod, kažu istraživači iz kompanije Kaspersky koji su i otkrili ove aplikacije.

Međutim, pošto su sačekali nekoliko meseci, kriminalci koji stoje iza ove aplikacije su je u oktobru ažurirali tako da je od tada mogla da krade informacije.

Osim ove aplikacije, istraživači su pronašli još 84 takvih aplikacija u Play prodavnici, od kojih je većina u prodavnici od oktobra. Sve one su krale lozinke korisnika VK.com. Sedam od ovih aplikacija je imalo između 10000 i 100000 instalacija, devet između 1000 i 10000 instalacija, a ostale manje od 1000 instalacija.

Aplikacije su koristile zvanični SDK za VK.com ali izmenjen malicioznim JavaScript kodom koji im je omogućavao da kradu lozinke od korisnika sa standardne stranice za prijavljivanje sajta VK.com. S obzirom da su ove aplikacije izgledale kao da dolaze sa VK.com, kao aplikacije za slušanje muzike ili monitoring poseta stranici korisnika, one su zahtevale od korisnika da se prijave na svoje naloge preko stranice za prijavljivanje koja uopšte nije izgledala sumnjivo. Ukradene lozinke bi zatim bile šifrovane i poslate serveru koga kontrolišu napadači.

Istraživači veruju da su sajber kriminalci koristili ukradene lozinke uglavnom za promovisanje različitih grupa i povećanje njihove popularnosti, s obzirom da su se inficirani korisnici žalili da su njihovi nalozi krišom dodavani nepoznatim grupama.

Sajber kriminalci koji stoje iza ovih aplikacija objavljivali su aplikacije na Play Store više od dve godine, da bi ih kasnije izmenili i na taj način izbegli da budu otkriveni.

S obzirom da su ciljevi bili korisnici VK.com, najviše inficiranih je u Rusiji, Ukrajini, Kazahstanu, Jermeniji, Azerbejdžanu, Rumuniji, Belosrusiji, Kirgiziji, Tadžekistanu i Uzbekistanu.

Aplikacije su se prilagođavale korisnicima - najpre bi proverile jezik uređaja i onda bi na jeziku uređaja tražile od korisnika da se prijave.

Pored ovih aplikacija, istraživači Kaspersky Laba otkrili su i nekoliko drugih aplikacija u Play prodavnici koje je objavila ista grupa sajber kriminalaca i to kao nezvanične klijente za popularnu aplikaciju za razmenu poruka Telegram.

"Ove aplikacije ne samo da su maskirane u Telegram aplikacije, već su one zapravo napravljene pomoću open source Telegram SDK i radile su kao i sve druge takve aplikacije", kažu istraživači, dodajući da su ove aplikacije takođe dodavale korisnike inficiranih uređaja promovisanim grupama i razgovorima na osnovu liste koju su dobijale sa servera.

Sve ove aplikacije, uključujući aplikacije koje su krale lozinke (KL ih detektuje kao Trojan-PSW.AndroidOS.MyVk.o) i maliciozneTelegram klijente, sada su uklonjene iz Play prodavnice.

Oni koji su ih instalirali treba da omoguće Google Play Protect, relativno novu zaštitnu funkciju koja koristi mašinsko učenje i analizu upotrebe aplikacija za uklanjanje malicioznih aplikacija sa Android uređaja da bi se sprečila dalja šteta.

S obzirom da ni Play prodavnica nije potpuno siguran izvor aplikacija, što pokazuje i ovaj slučaj, preporuka je da budete uvek oprezni kada preuzimate aplikacije i da uvek proveravate dozvole koje aplikacije traže i utiske drugih korisnika koji su ih već instalirali.

Dobar antivirus na uređaju može da otkrije i blokira ovakve maliciozne aplikacije pre nego što dođe do infekcije i pre nego što vaše lozinke završe u pogrešnim rukama.