Компанія ESET — лідер у галузі проактивного виявлення — попереджає про поширення шкідливих програм під виглядом легітимних у турецькому неофіційному магазині додатків для Android – CepKutusu.com. Замість бажаних програм на пристрій користувача завантажується банківське шкідливе програмне забезпечення. Загроза здатна перехоплювати та надсилати SMS-повідомлення, відображати фальшиву активність, а також завантажувати та встановлювати інші додатки.
Після інсталяції на пристрій жертви шкідливе програмне забезпечення не маскується під вибраний для завантаження користувачем додаток, а імітує функціонал додатку Flash Player. Через кілька тижнів після звернення дослідників ESET до операторів магазину шкідлива діяльність у даному магазині припинилася.
«Поширення шкідливого програмного забезпечення у масовому масштабі через магазин додатків є достатньо серйозною загрозою. У межах операційної системи Windows і в браузерах ця техніка, як відомо, використовувалася деякий час. Тоді як для платформи Android це, дійсно, новий вектор атаки», – розповідають спеціалісти ESET.
На думку дослідників ESET, у цьому конкретному випадку кіберзлочинці, ймовірно, проводили тестування загрози. Заміна посилань всіх додатків на посилання зі шкідливою програмою не потребувала ніяких особливих зусиль від кіберзлочинців. Крім цього, користувачі могли виявити шахрайство відразу після завантаження, отримавши замість бажаної програми функціонал Flash Player. Ця версія також пояснює, чому було зафіксовано лише близько кількох сотень інфікувань. Якби шахраї додали шкідливий функціонал до кожної з програм у магазині та поширювали інфіковану версію додатку, кількість жертв могла б значно зрости.
Існує декілька версій щодо походження загрози. Магазин додатків міг бути створений з наміром поширювати шкідливе програмне забезпечення або використаний із зловмисними цілями одним із його працівників. Крім цього, магазин додатків, можливо, сам став жертвою кіберзлочинців.
У будь-якому разі атака не могла залишитися непоміченою легітимним магазином. Скарг користувачів, підозрілих журналів сервера та змін в коді мало бути достатньо для операторів, особливо якщо шкідлива діяльність здійснювалася протягом тривалого часу. Варто зазначити, що спеціалісти ESET звернулися до операторів магазину, але ще не отримали відповіді.
У зв’язку з можливістю подальшого використання кіберзлочинцями цього вектору атаки спеціалісти ESET підготували для користувачів поради щодо безпечного завантаження додатків:
- Завантажуйте додатки лише з офіційних магазинів додатків, оскільки альтернативні магазини часто приваблюють авторів шкідливих програм можливостями не лише для поширення окремих загроз, а також для проведення масових кампаній.
- Будьте особливо обережні під час завантаження контенту з Інтернету. Звертайте увагу на підозрілу назву, розмір та розширення файлу, оскільки багато загроз можна виявити відразу і вчасно уникнути інфікування ними.
- Використовуйте надійні рішення для захисту мобільних пристроїв від нових загроз. Варто зазначити, що продукти ESET виявляють цю шкідливу програму, приховану в неофіційному магазині додатків, як Android/Spy.Banker.IE і запобігають її завантаженню на пристрої користувачів.