Atak na użytkowników Androida - Fałszywa aplikacja OLX
W ostatnich tygodniach użytkownicy OLX padli ofiarą nowej złośliwej aplikacji, która podszywa się pod popularną platformę ogłoszeniową. Atak malware wykorzystuje metodę phishingu, mając na celu kradzież danych osobowych i środków finansowych. Jak działa ta aplikacja i jakie niesie zagrożenia?
Hakerzy nieustannie szukają nowych sposobów na przejęcie danych, a smartfony i inne urządzenia mobilne są ich głównym celem. Dlaczego? Bo w nich w większości przypadków przechowujemy wszystkie dane – od prywatnych zdjęć i wiadomości po dane logowania do bankowości. Fałszywe aplikacje podszywające się pod znane marki, takie jak OLX czy InPost są szczególnie niebezpieczne, bo wzbudzają zaufanie użytkowników.
Z uwagi na popularność systemu Android, jego użytkownicy są szczególnie narażeni na zagrożenia mobilne i powinni zachować ostrożność. Przeglądając media społecznościowe lub serwisy informacyjne, łatwo natrafić na linki prowadzące do pobrania popularnych aplikacji. Jednak należy pamiętać, że mogą one pochodzić z nielegalnego źródła i stanowić zagrożenie. W tym artykule opiszemy atak z wykorzystaniem aplikacji podszywających się pod popularne marki.
Fałszywa aplikacja OLX - Instalacja złośliwego oprogramowania
Oszuści stworzyli fałszywą aplikację mobilną o nazwie OLX Payments, która nie jest dostępna w oficjalnym sklepie Google Play. Zatem aby ją zainstalować, użytkownik musi zmienić ustawienia urządzenia, zezwalając na instalację oprogramowania spoza zaufanego źródła.
Uruchomienie złośliwej aplikacji OLX Payments
Po uruchomieniu aplikacji wyświetlany jest komunikat o konieczności przeprowadzenia aktualizacji, która jest niezbędna dla jej prawidłowego działania. Po naciśnięciu przycisku „UPDATE” pojawia się informacja, że z powodów bezpieczeństwa nie można instalować aplikacji z tego źródła. Następnie użytkownik zostaje poproszony o ponowne zezwolenie na instalację z nieznanych źródeł. Ten sprytnie zaprojektowany mechanizm umożliwia cyberprzestępcom zainfekowanie urządzenia dodatkowym złośliwym oprogramowaniem.
W tym celu wymagane jest przejście do ustawień i wybranie opcji “Zezwól z tego źródła”. Oczywiście nie należy nigdy na to pozwalać, realizowane jest to wyłącznie na potrzeby opisania zagrożenia.
Pobranie i uruchomienie kolejnego malware
Okazuje się, że aplikacja OLX Payments jest wykorzystywana jako downloader do instalacji kolejnej złośliwej aplikacji o nazwie Google services.
Złośliwe oprogramowanie po uruchomieniu wymusza włączenie ułatwień dostępu, wyświetlając ciągłe powiadomienia pop-up z komunikatem „Enable Google services”. To pozwala aplikacji przejąć pełną kontrolę nad urządzeniem.
Złośliwe działanie aplikacji Google services
Po zatwierdzeniu wymagań, aplikacja w sposób automatyczny, bez udziału użytkownika, przyznaje sobie kolejne uprawnienia, takie jak dostęp do SMS-ów, kontaktów, muzyki oraz zdjęć i filmów. Następnie wyświetla ona także ekran imitujący aplikację InPost, informujący o konieczności połączenia się ze swoim bankiem w celu otrzymania płatności.
Po kliknięciu w przycisk "Pobierz teraz" wyświetlony zostaje komunikat o bezpiecznym połączeniu z bankiem. W kolejnym etapie pojawia się ekran z wyborem kilku bankowości.
Po wybraniu bankowości pojawia się panel logowania, a wprowadzone do niego dane trafiają do przestępców, którzy stoją za atakiem.
Prócz tego, malware po przejęciu pełnej kontroli nad zainfekowanym urządzeniem, może wykradać znajdujące się na nim wszelkie inne dane.
Analiza złośliwego oprogramowania
Analiza złośliwej aplikacji ujawniła, że jest to malware o nazwie TrickMo. Złośliwe oprogramowanie najczęściej wykorzystuje droppera - to rodzaj malware, odpowiedzialny za instalację innego szkodliwego oprogramowania - co ma na celu uniknięcie detekcji oraz analizy. W opisywanym przypadku była to aplikacja OLX Payments.
TrickMo jest w stanie przejąć pełną kontrolę nad telefonem z systemem Android. W efekcie oszuści mogą uzyskać dostęp do poufnych informacji, takich jak hasła, wiadomości, czy dane kontaktowe, które znajdują się na zainfekowanym urządzeniu. Ponadto malware po połączeniu się z serwerem Command and Control (w skrócie CC, który służy do zdalnego zarządzania i obsługi złośliwym oprogramowaniem) przesyła różne dane na temat urządzenia, takie jak numer telefonu i operator, czy model i wersja smartfona.
Złośliwe oprogramowanie przesyła także informacje na temat zainstalowanych aplikacji.
Malware ten także raportuje automatycznie do cyberprzestępców wszelkie powiadomienia, które pojawiają się na telefonie. Na poniższym przykładzie notyfikacja z aplikacji Facebook.
Podczas analizy ujawniliśmy kilkadziesiąt serwerów CC wykorzystywanych w atakach przy użyciu tego malware. Ponadto zostało ujawnionych kilkanaście nowych aplikacji, które są powiązane z atakami tego złośliwego oprogramowania.
Analiza infrastruktury sieciowej wykorzystywanej przez oszustów pozwoliła zebrać dane dotyczące zainfekowanych urządzeń. Pierwszy wykres ukazuje wersje systemu Android, z których wynika, że najwięcej infekcji doszło na smartfonach z Androidem w wersji 14.
Natomiast pod kątem producentów telefonów, najczęściej infekowane były urządzenia marki Samsung.
Podczas analizy działalności grupy stojącej za opisywanym atakiem ujawniliśmy łącznie około 1500 infekcji. Należy jednak zaznaczyć, że liczba ta dotyczy także ataków przy wykorzystaniu innych aplikacji oraz mających miejsca w innych krajach.
Ochrona przed złośliwymi aplikacjami
Jak widać na opisanym przykładzie, w kilka chwil można dopuścić do infekcji złośliwym oprogramowaniem, a w konsekwencji wycieku poufnych danych. Dlatego ochrona smartfona jest szczególnie ważna, ponieważ większość osób przechowuje na nim swoje kluczowe dane.
Na co należy zwracać uwagę, aby wzmocnić ochronę prywatności i ochronę danych logowania:
- Zawsze sprawdzaj pochodzenie linków i odnośników, aby upewnić się, że prowadzą do oficjalnych i zaufanych źródeł pobierania aplikacji.
- Pobieraj i instaluj aplikacje wyłącznie z wiarygodnych źródeł. Dla użytkowników systemu Android jest to sklep Google Play.
- Dodatkowym zabezpieczeniem w systemie Android jest domyślnie włączona ochrona przed szkodliwymi aplikacjami — Google Play Protect.
- Zwracaj uwagę na komunikaty systemowe, które powinny wzbudzić podejrzenie. Informacja, że “ze względów bezpieczeństwa nie można instalować nieznanych aplikacji z tego źródła” to jeden z takich przykładów.
- Weryfikuj czy dana aplikacja rzeczywiście potrzebuje uprawnień, o jakie prosi. Należy umożliwiać jej wyłącznie te, które są niezbędne do jej prawidłowego funkcjonowania.
- Korzystaj z dedykowanej aplikacji, która zabezpieczy Twoje urządzenie i dane przed cyberprzestępcami oraz złośliwym oprogramowaniem.
Podsumowanie
Złośliwe aplikacje podszywające się pod popularne platformy, takie jak OLX, stają się coraz bardziej powszechne. Ich celem jest przejęcie danych logowania, danych osobowych, a w niektórych przypadkach także środków finansowych użytkowników. Chcąc uniknąć zagrożeń związanych ze złośliwymi aplikacjami, kluczowe jest dbanie o ochronę prywatności i danych na urządzeniach mobilnych. Jednym z najskuteczniejszych działań prewencyjnych jest korzystanie z aplikacji monitorującej bezpieczeństwo telefonu.
Security Assistant For Mobile (SAFM) chroni użytkowników przed atakami hakerów. Aplikacja bada zabezpieczenia smartfona i wykrywa próby jego infekcji złośliwym oprogramowaniem. SAFM pomaga uchronić się przed kradzieżą prywatnych danych i pieniędzy. Korzystanie z aplikacji jest intuicyjne, a interfejs przyjazny co zapewnia wygodę i komfort użytkowania.
Zobacz jak SAFM skutecznie wykrywa i blokuje opisane wyżej zagrożenie:
Więcej o aplikacji dowiesz się tutaj → Security Assistant For Mobile
Pobierz SAFM już teraz i zadbaj o bezpieczeństwo swojego telefonu!