Tym razem już nie tylko Android i jego sklep Google Play. Chodzi również o AppStore - czyli jedyne, centralne repozytorium dla urządzeń z iOS na pokładzie. Badacze z Satori Threat Intelligence od HUMAN zidentyfikowali groźne adware, które stanowią część szerszej akcji cyberprzestępców o nazwie Scylla.
Tym razem nie tylko Android, ale i... iOS! Usuń te aplikacje jak najszybciej - to pułapka!
To trzecia fala tego typu działań. Analitycy są zdania, że to część bardzo szeroko zakrojonej "kampanii", z której pierwsza odbyła się w 2019 roku (sierpień) i nazwano ją Poseidon. Druga - Charybdis swoją kulminację miała pod koniec roku 2020. To, co badacze znaleźli teraz to kolejne próby przestępców naciągnięcia użytkowników. Te programy zdecydowanie nie są bezpieczne. Zespół odpowiedzialny za zidentyfikowanie groźnych aplikacji zgłosił już sprawę do Google i Apple - zostały one bardzo szybko usunięte. Kwestia jest jeszcze tego typu, że mogą one być obecne na sprzętach ofiar.
Jak wygląda kwestia z automatycznym usuwaniem aplikacji z urządzeń, gdy zostaną one uznane za niebezpieczne / szkodliwe? Cóż, w przypadku Androida jest mechanizm Play Protect, który powinien samodzielnie je wykryć i usunąć. Jak chodzi o iOS, nie jest już tak różowo. Trzeba je samodzielnie wyrzucić ze swojego telefonu lub tabletu.
Lista niebezpiecznych programów na iOS: Loot the Castle, Rope Runner, Racing Legend 3D, Run Bridge, Shinning Gun, Wood Sculptor, Fire-Wall, Tony Runs, Ninja Critical Hit
Lista niebezpiecznych programów dla Androida: Shoot Master, Talent Trap, One Line Drawing, Super Hero, Spot 10 Differences, Spot 5 Differences, Dinosaur Legend.
Ta lista może jeszcze ulec modyfikacji, więc warto śledzić raport HUMAN w tej sprawie. Ten jest dostępny tutaj i warto do niego zajrzeć i sprawdzić, czy na naszych urządzeniach nie znajdują się rzeczy, które zdecydowanie nie powinny tam być.
Co robiły te aplikacje?
Cóż, generowały fałszywe kliknięcia w reklamy. Po co? Aby zwyczajnie na tym zarabiać - używały innego identyfikatora pakietu do zliczania tych kliknięć - imitowały one ponad 6000 innych aplikacji, by uniknąć wykrycia i wskazywać na kliknięcia oraz wyświetlenia reklam wynikające z bardziej "dochodowej" kategorii programu. Sprytnie. Na Androidzie standard - zwyczajnie używano WebView do tego, aby generować takie rzeczy. Co więcej, ofiara nie zauważy niczego podejrzanego, bo wszystko dzieje się w tle. Ale przecież będzie zużywać zasoby, prawda? Po drugie, istotne jest również to, że te zagrożenia używają m. in. modułu JobScheduler, aby wywoływać pewne zdarzenia nawet wtedy, gdy urządzenie leży bezczynnie na biurku. (Android).
Oznaki infekcji, działania tych programów można zlokalizować w logach, które dotyczą pracy sieci. Zazwyczaj nikt do nich nie zagląda - bo dlaczego? Ale warto mieć na uwadze, że takie rzeczy jak szybsze zużywanie się energii w akumulatorze, zwiększone zużycie pakietu internetowego mogą być pewnymi sygnałami dla Ciebie, że coś jest na rzeczy. Najlepiej po prostu sprawdzić, czy mamy zainstalowane te programy. Jeżeli macie - zdecydowanie warto. Dzieci przecież zupełnie bezrefleksyjnie podchodzą do pobierania aplikacji - zazwyczaj.
Co robić na przyszłość?
Najlepiej po prostu instalować programy od sprawdzonych dostawców: te, które znamy. Przed tym, gdy je pobierzemy - warto sprawdzić ich nazwy w Google, a także recenzje. One również mogą nam dużo powiedzieć o tym, co się dzieje. Programy te są niebezpieczne o tyle, że mogą przecież zawierać moduły pozwalające na przejęcie kontroli nad urządzeniem. I cóż - w tym przypadku udowodniono, że nie tylko Google ma z tym problem, ale czasami i Apple.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu