Otwartość Androida ma wiele zalet. Ma też sporo wad — w tym jedną, bardzo groźną. Cyberprzestępcy chętnie wykorzystują ofertę „zewnętrznych sklepów” z grami i aplikacjam instalowanych z pominięciem sklepu Google Play. A to prosta droga do zainfekowania urządzeń złośliwym oprogramowaniem.
Wiele się mówi na temat zamkniętego ekosystemu Apple i tego jak firma nie pozwala na urządzeniach z iOS/iPad OS instalować gier i aplikacji z zewnętrznych sklepów. Jedni uparcie mówią o chciwości Amerykanów, jednak sprawa wcale nie jest taka oczywista, jeśli weźmiemy pod uwagę otwartość Androida i problemy z nią związane. Wystarczy odwiedzić zewnętrzne sklep z aplikacjami, a niczego nieświadomi użytkownicy pobiorą i zainstalują zainfekowane wersje popularnych apek i problem gotowy. Jak informują eksperci ESET, takimi narzędziami przestępcy z grupy APT-C-23 infekują smartfony swoich ofiar.
Grupa APT-C-23 ma operować od 2017 r. Od kilku miesięcy korzysta z nowych narzędzi szpiegujących użytkowników, którymi infekują smartfony z Androidem. Oprogramowanie to pozwala m.in. na nagrywanie zawartości ekranu, odczytywanie historii połączeń telefonicznych, czy dostęp do powiadomień. Przy okazji skutecznie się maskuje — ukrywa powiadomienia od aplikacji pilnujących bezpieczeństwa, które są instalowane domyślnie przez niektórych producentów smartfonów. Eksperci ESET zwracają uwagę na dość ciekawy mechanizm dystrybucji tego typu oprogramowania. Wykorzystują do tego fałszywy sklep z aplikacjami, w którym zamieszczone są zainfekowane wersje popularnych aplikacji. Wystarczy wspomnieć popularny komunikator Telegram, czy uchodzący za bezpieczny i w pełni szyfrowany Threema.
Zobacz też: Antywirus dla Androida – jakie są zagrożenia i czy jest potrzebny?
Wisienką na torcie jest moduł aktualizacji systemu Android, choć nie wiem co mogłoby skusić kogokolwiek do pobrania oprogramowania systemowego z mało zaufanego źródła. Najwyraźniej ktoś się jednak znalazł, tym bardziej, że członkowie APT-C-23 celowali w konkretną grupę odbiorców dystrybuując 6-cyfrowe kody umożliwiające pobieranie aplikacji z tego sklepu. Instalacja i pierwsze uruchomienie zainfekowanej aplikacji to prośba o dostęp do powiadomień, nagrywania ekranu, czy wyłączenie Play Protect, które powinno rozpoznać fałszywe oprogramowanie instalowane na smartfonie. Jak wskazując eksperci, opisana wyżej ścieżka to prawdopodobnie jeden z kilku sposobów dystrybucji wirusa. Niezależnie jednak od ścieżki infekcji, jego działanie jest takie samo i pozwala uzyskać przestępcom niemal nieograniczony dostęp do zainfekowanego urządzenia.
No dobrze. Jak więc się chronić przed tego typu atakami?
Nigdy nie instalować aplikacji spoza Sklepu Play, nie klikać w linki od nieznanych nadawców, korzystać z oprogramowania antywirusowego – to podstawy, ale w zdecydowanej większości przypadków wystarczą, by uchronić się nawet przed ukierunkowanymi atakami, takimi jak te stosowane przez grupę APT-C-23
— wyjaśnia Kamil Sadkowski, starszy analityk zagrożeń w ESET. Zwraca on uwagę, że choć narzędzia stosowane przez grupę APT-C-23 są bardzo niebezpieczne, przed infekcją można się stosunkowo łatwo uchronić, stosując się do podstawowych zasad bezpieczeństwa.
Źródło: ESET
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
