1

Obiecywali darmowe produkty, potajemnie instalowali na smartfonach przeglądarki najeżone reklamami

Rynek aplikacji mobilnych jest ogromny, ale czai się tam również sporo niebezpieczeństw. A jak pokazuje przykład Teracotta — zagrożenia są coraz bardziej złożone i... coraz trudniejsze do wykrycia. I to już przez Google, o użytkownikach nie wspominając.

Rynek aplikacji mobilnych to trudny kawałek chleba. Przebicie się przez tysiące konkurentów nie jest łatwe, a według wielu jest wręcz niemożliwe. Na tym jednak jeszcze nie koniec problemów: bo sklepy mobilne zalane są także wieloma aplikacjami stanowiącymi potencjalne zagrożenie dla użytkowników… albo przynajmniej ich urządzeń. Filtry Google nie są tak doskonałe, jak wielu z nas by tego oczekiwało — i nawet do Sklepu Play trafia wiele aplikacji, które nigdy nie powinny były się tam znaleźć. Blisko dwa lata temu pisałem o oszustwach z reklamami w tle:

Aplikacje o których mowa zostały zainstalowane na urządzeniach z Androidem ponad 115 milionów razy. Głównie chodzi o gry, ale nie zabrakło wśród nich także rozmaitych mobilnych narzędzi — czasami banalnie prostych, jak… zwyczajna latarka. Wszystko zostało przygotowane na tyle starannie, że nawet po zakupie — nowi właściciele dbali o starą społeczność. Aktualizowali, dyskutowali i robili co w ich mocy, by nic nie wzbudzało żadnych podejrzeń. W praktyce jednak nowi właściciele śledzili uważnie wszystkie interakcje użytkowników w aplikacji, a później użyli tych informacji… by boty dzielnie powtarzały te akcje. W praktyce aplikacje cały czas wyświetlały reklamy, co kosztowało platformy specjalizujące się w nich… blisko 10 milionów dolarów.

A teraz temat powraca, ale w jeszcze bardziej przekombinowanej formie. Tym razem kuszą aplikacją, która wszystkim użytkownikom ma zaoferować m.in. darmowe obuwie. Jasne — dla tych obytych z internetem takie programy od razu wzbudzają podejrzenia i omijają je szerokim łukiem, ale dla lwiej części to wcale nie jest takie oczywiste. Pamiętajmy, że teraz każdy ma smartfon. Botnet Terracotta działał z całym szeregiem aplikacji, które obiecywały darmowe produkty. To nie zawsze była odzież — wśród darmowych produktów znalazły się także bilety na rozmaite wydarzenia, kupony, a nawet pakiety lecznicze u dentystów. Wystarczyło zainstalować aplikację i odczekać dwa tygodnie, by otrzymać obiecane nagrody. No i, oczywiście, przez ten czas nie można było ich odinstalować. W tym czasie aplikacja pobierała i uruchamiała w tle zmodyfikowaną wersję Google Chrome (Web View) w której były uruchamiane rozmaite reklamy, które rzekomo oglądali użytkownicy. Specjaliści z White Ops opisując atak scharakteryzowali go jako kompleksowy i solidny. Wykorzystali zaawansowane techniki, które pozwoliły dokonać oszustwa na ogromną skalę i to tak, że przez długi czas nikt się nie połapał. A samych urządzeń też było wiele — w czerwcu 2020 mowa o 65 tys. zainfekowanych urządzeń i ponad dwa miliardy reklam w środku.

Po tym jak o sprawie zrobiło się głośno — Google zaczęło reagować i spora część aplikacji wypadła ze sklepu Play. Możliwe że nawet wszystkie — ale nie zmienia to faktu, że wciąż użytkownicy mają sporo sprzętów z zainstalowanym malware, które drenuje baterię i wykorzystuje transfer komórkowy. Na tę chwilę nie jest znana lista aplikacji zainfekowanych Terracotta.

Źródło