Windows doczekał się wbudowanego w system, dobrego pakietu antywirusowego, który będzie działał odpowiednio, o ile zastosujemy się do kilku prostych zasad. Popularność Windows wśród cyberprzestępców jest spowodowana bardzo powszechnym wykorzystaniem platformy Microsoftu na rynku. I w przypadku Androida jest podobnie, tyle że... znacie dobrego antywirusa na Androida?
Zapewne znacie, ale nie ma ich wielu. Właściwie 90 procent programów antywirusowych dla systemu Android nie spełnia swojego zadania tak, jak należy. Te 10 procent, które można polecić, również mają sporo bolączek, które jak najszybciej powinny zostać wyprostowane. W sumie, tak sobie teraz myślę i myślę - Google jest gigantem w kwestii uczenia maszynowego, sztucznej inteligencji. Dlaczego jeszcze nie pomyślano tam o wprowadzeniu podobnych mechanizmów w zakresie ochrony przed złośliwym oprogramowaniem i... nie wbudowano ich w system?
Co najgorsze, wektorem możliwego zarażenia tym złośliwym oprogramowaniem był sklep Google Play. To właśnie stamtąd można było pobrać grę, która przeszła certyfikację Google i po jej uruchomieniu, wprowadzała bardzo niebezpieczne zmiany do systemu operacyjnego w telefonie. W porę jednak zareagował Kaspersky, który ostrzegł Google i zanim aplikacja wyrządziła spore szkody, ściągnięto ją z listy repozytorium.
Dvmap, bo mowa o tym zagrożeniu wstrzykiwał swój kod do plików systemowych Androida. Co ciekawe, program który zawierał w sobie niebezpieczny mechanizm został pobrany 50 000 razy - gdyby nie zareagowano w porę, mogłoby być tego znacznie więcej. A wiadomo, że cyberprzestępcy stosują techniki black hat SEO, powodując wzrost popularności programu nieetycznymi metodami, przekonując ponadto użytkowników, że mają do czynienia z absolutnie bezpieczną treścią. Wśród takich działań obejmuje się np. zlecenie oceniania programu maszynom, albo kłamliwe recenzje w repozytorium.
Zagrożenie nadpisywało pliki systemowe Androida: potrafiło wyłączyć funkcję weryfikowania aplikacji pozwalając na nieskrępowane pobieranie innych złośliwych programów bez wiedzy użytkownika i z wyłączeniem podstawowych mechanizmów ochrony. Dodatkowo, wyłączało ono niektóre usługi, przez co pewne aplikacje nie działały prawidłowo. Ostatecznie, mimo wykorzystania dostępu do uprawnień roota, po wykonaniu żądanych operacji wymazywały go, aby użytkownik nie zorientował się, że z jego sprzętem dzieje się coś niedobrego.
To pośrednio zasługa inżynierów z Kaspersky Labs, którzy w porę znaleźli niebezpieczny program. Wiadomo, że Dvmap był w stanie odbierać komendy z "centrum dowodzenia", które pozwalały mu na pobranie i uruchomienie wskazanych przez cyberprzestępców programów na zainfekowanych urządzeniach. W trakcie śledztwa ekspertów, nie znaleziono żadnych dowodów na to, że Dvmap otrzymywał jakiekolwiek instrukcje od swoich twórców, co może wskazywać na to, że trojan jest tylko "testem" przed wdrożeniem prawdziwego ataku.
Zapewne interesuje Was, w jaki sposób deweloper udostępniający aplikację ominął certyfikację Google? Wykorzystano do tego trik prosty jak budowa cepa. Najpierw opublikowano absolutnie wolną od złośliwego kodu grę. Kilka razy ją zaktualizowano tak, aby w dalszym ciągu nie wzbudzała podejrzeń. Dopiero w kolejnej wersji dodano złośliwy kod, a Google nie zauważyło tego faktu. Potem na przemian publikowano aktualizacje "czyste" oraz te ze złośliwym kodem. Jak wskazuje Kaspersky, takie machinacje były przeprowadzane w okresie od kwietnia do maja pięć razy.
Wcześniej pisaliśmy dla Was o bardzo przebiegłym wykorzystaniu pewnej luki w Androidzie, która pozwalała na stworzenie "niewidzialnej powłoki" na interfejs celem nadania uprawnień programowi, które są potrzebne do pomyślnego zaatakowania urządzenia. Rosnąca popularność takich zagrożeń udowadnia nam, że wzmocnienie ochrony danych użytkownika jest koniecznie. I tym właśnie powinno zająć się Google.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
