14:42
21/1/2019

Złośliwe aplikacje na Androida korzystają z coraz bardziej finezyjnych technik, aby nie wzbudzić podejrzeń i zdobyć miejsce w sklepie Google Play. Co gorsza, wiele osób nadal nie ma świadomości, że coś takiego może się w ogóle stać. 

Tak. To było w “oficjalnym sklepie”

Co jakiś czas dostajemy od użytkowników Androida e-maile mniej więcej takiej treści: “Okradziono mnie, bank powiedział że to malware, ale przecież nie instalowałem żadnych aplikacji spoza marketu!!!”. Oczywiście przyglądamy się każdemu takiemu zgłoszeniu, ale już na wstępie musimy powiedzieć ofierze, że w sklepie Google Play trafiają się złośliwe aplikacje.

Oto dwa ciekawe przykłady z ostatnich dni: Currency Converter oraz BatterySaverMobi.

Przykłady dwóch złośliwych aplikacji

Aplikacja BatterySaver doczekała się wysokich ocen i została pobrana ponad 5 tys. razy. Tymczasem Currency Converter skierowany był do ludzi, którzy interesują się pieniędzmi. To dość częsta zagrywka. Podobnie było np. z aplikacją Crypto Monitor, za sprawą której znajomy naszego Czytelnika przekonał się, jak szybko może wyparować 10 tys. zł z konta (zob. Jak przestępcy ukradli 10 000 PLN miłośnikowi kryptowalut. Ciekawy atak na klientów posiadających mobilne aplikacje polskich banków).

Aplikacji pokazanych wyżej nie ma już w Google Play, ale niestety tam były i służyły za tzw. droppery, czyli aplikacje pozornie niegroźne, których zadaniem jest przekonać ofiarę do udzielenia uprawnień koniecznych do pobrania trojana. Te konkretne apki pobierały trojana bardzo przypominającego Anubisa i łączącego się z serwerami C&C w domenie połączonej z Anubisem.

Anubis – przypomnijmy – ostro atakował już na początku ubiegłego roku i korzystał z wielu różnych dropperów. Duże kampanie były wycelowane głównie w użytkowników z Turcji, ale Polacy też byli ofiarami. W sierpniu ubiegłego roku Orange informował, że aktywność oprogramowania Bankbot.Anubis dochodziła do 41% całej złośliwej aktywności w sieci mobilnej Orange Polska(!). Ba. Urządzenia pewnego klienta Neostrady usiłowały w ciągu 30 dni łączyć się z serwerami Anubisa niemal 130 tysięcy razy!

Dlaczego sensory ruchu?

Wróćmy do aplikacji Currency Converter i BatterySaverMobi. Były one szczególne bo specjaliści z TrendMicro ustalili, że korzystały one z sensorów ruchu i nie uruchamiały złośliwego kodu jeśli urządzenie użytkownika się nie poruszało.

Źródło zrzutu: Trend Micro

Dopiero gdy było pewne, że urządzenie się porusza, aplikacja wyświetlała komunikat o rzekomej aktualizacji.

źródło grafiki: Trend Micro

Przestępcy najwyraźniej założyli, że aplikacja działająca na emulatorze nie dostanie żadnych danych z sensorów ruchu. Badacze bezpieczeństwa i prawdopodobnie również pracownicy Google, sprawdzają aplikacje właśnie na emulatorach. We wspomnianych aplikacjach była jeszcze inna ciekawa rzecz. Dropper wykorzystywał żądania i odpowiedzi wysyłane do stron Twittera i Telegrama aby zlokalizować serwer C&C.

Zazwyczaj trojany bankowe działają w taki sposób, że wyświetlają swoją stronę w momencie gdy użytkownik chce skorzystać z aplikacji bankowej. Anubis natomiast zbierał informacje o miejscach “kliknięć” i czasem robił zrzuty ekranowe. Na tej podstawie przestępcom udawało się ustalić dane uwierzytelniające. Możliwości Anubisa, w zależności od wariantu, mogły też obejmować dostęp do kontaktów i lokalizacji, a także nagrywanie dźwięku czy wysyłanie SMS-ów. Mówimy o oprogramowaniu dystrybuowanym do 93 krajów.

Boje się złośliwych apek. Co robić? Jak żyć?

Po pierwsze warto mieć antywirusa na urządzeniu z Androidem (wciąż nie jest to standardem wśród użytkowników najpowszechniejszego systemu mobilnego). Po drugie trzeba mieć świadomość, że antywirus nie wykryje 100% zagrożeń. Dlatego warto się zastanowić nad pobieraniem różnych “narzędzi” od mało znanych dostawców. Czy naprawdę potrzebujesz tej apki do przeliczania walut lub śledzenia ich cen? Czy naprawdę wierzysz, że jakaś apka magicznie przedłuży życie Twojej baterii? To nawet ciekawe, że trojany potrafią kryć się za aplikacjami, bez których naprawdę łatwo każdy mógłby się obejść.

Pamiętajmy też, że droppery to nie wszystko. Czasami atakujący potrafią podszyć się pod znaną aplikację, także bankową. Ten problem mieli w naszym kraju klienci BZ WBK i wiemy, że bez ofiar się nie obyło. Bardzo często możecie spotkać się z poradą, aby pobierać aplikacje “tylko z oficjalnego sklepu”. My proponujemy pójść o krok dalej. Doradzamy wam pobieranie aplikacji za pomocą takich linków, które znajdziecie np. na stronie banku lub producenta danego rozwiązania.

Często spotykamy się z pytaniem, czy nieużywanie aplikacji bankowych zabezpiecza przed atakami? Cóż. Może to być jakieś zabezpieczenie przed wyłudzeniem danych logowania z telefonu. Pamiętajmy jednak, że zdeterminowany przestępca może uruchomić aplikację mobilną na innym telefonie, który będzie pod jego kontrolą. Taki atak nie wymaga już żadnego malware’u.

Przeczytaj także:

49 komentarzy

Dodaj komentarz
  1. Cześć, jaki jest rekomendowany i najlepiej darmowy antywirus na Androida ?:)

    • Ja używam BitDefendera, ale wogóle się nie przydaje. ;)

    • Za darmo to wiesz co… Dobry antywirus swoje kosztuje. Polecam Emsisoft.

    • Zaden. Wszystkie wykrywaja malware jak ten juz zdobedzie kilkaset tysiecy instalacji. Najlepiej kupic telefon z czystym Androidem (Pixel, Nokia, Essential) albo od producenta, ktory udostepnia latki bezpieczenstwa co miesiac: np. Sony. Jak ktos woli Apple to iPhone. Do tego nie instalowanie g*wien typu: oszczedzanie baterii, czyszczenie pamieci, super latarki, przyspieszacze internetu, zmieniacze dnsow, darmowe vpny.

    • iPhone

  2. A jakiego antywirusa używa redaktor? :)

  3. Po co mi antywirus lepiej używać telefonów Apple tam tego nie potrzeba telefonu google są tanie bo sprzedajesz własną duszę (dane telemetryczne) aby zapłacić trochę mniej

    O ile nie zjailbrekujesz sobie telefonu iOS jest bezpieczny no może jak masz starą wersje to coś może tobie wpaść przez dziurawe safari. Było kiedyś tak iż pobierałem piracką grę a tutaj ikona facebooka zaczyna się aktualizować dziwne a gry nie było na szczęście w porę lampka mi się zapaliła a mogłem wydać te 2 dolce

    • ……..,,,,,,,, Masz trochę, powstawiaj w odpowiednie miejsca bo chyba ci się skończyły.

    • Masz trochę [i] powstawiaj w odpowiednie miejsca [,] bo chyba [Ci ] się skończyły.

      Pouczając kogoś sam pisz poprawnie.

    • Poczytaj sobie co to było fappening i dlaczego praktycznie tylko na Iphonach

    • @SS Przecinek nie wymaga zastąpienia spójnikiem “i”. Majuskuła w “ci” jest kwestą kultury, nie ortografii.

    • Pouczając kogoś[,] sam pisz poprawnie.
      XD

  4. brakuje tylko w sekcji jak zyć .. dopisku ze najlepiej przejsc na iphone ;)

  5. Jaki darmowy antywirus na Androida polecacie?

    • Ja używam od lat Emsisoft i polecam.

  6. Jakiego antywira na Androida polecacie?

    • Polecam Emsisoft

  7. Jakiego antywirusa polecacie na Androida?
    Coś co nie obciąży i tak średnio zoptymalizowany OS i coś taniego :D

    • Spróbuj Emsisoft

  8. Wie ktoś może dlaczego Firefox na Androidzie przy zamykaniu za każdym razem prosi mnie o dostęp do aparatu fotograficznego i po co mu to potrzebne, szczególnie przy zamykaniu?

    • Robi zdjęcia i wysyła na przyjacielskie serwery w chinach.

    • Wedlug odpowiedzi ludzi z FF

      “We have investigated it and the cause is ad networks trying to list the media devices. Firefox forwards the requests to the user. You can set Firefox to never have access to the microphone and camera and Firefox will work just fine.”

  9. I dlatego należy się kierować zasadą z zawołania herbowego lorda Haveloca Vetinariego “Si non confectus, non reficiat.” czyli jeśli coś NIE jest zepsute, NIE naprawiaj. Bezwzględnie ignorować wszystkie nachalne prośby o uaktualnienie czegokolwiek, zanim nie upewnimy się, że takie uaktualnienie jest NAM potrzebne, podkreślam NAM, a nie dostawcy oprogramowania! Smutnym znakiem “obecnych czasów” jest to, że Microsoft i Aple wychował (znaczy skutecznie ogłupił) użytkowników swoich produktów tak, aby akceptowali KAŻDĄ oferowaną im zmianę jako “cód objawiony”, bez którego żyć po prostu NIE MOŻNA…

    • Jak miło że są ludzie z takim podejściem…. O ile to ułatwia pracę jak trzeba komuś udowodnić że błądzi w ciemnościach i można do tego wykorzystać podatność sprzed 10 lat….
      Najlepiej zainstaluj na telefonie sobie Windowsa xp. ;) (zanim ktoś napisze, że się nie da niech sprawdzi bo się da i działa wyśmienicie :D:D:D tak samo, jak Linux ;) )

    • Ej, z takim podejściem to jak lep na muchy. A słyszałeś o HoneyPot’ach?

  10. Telefona to ogladanie web, YT i nawigacja. Nic wiecej tam nie pcham. A juz napewno nie bankowosci. To ostatnia rzecz jaka bym zrobil. Jakos mojemu kompowi ufam bardziej. Zreszta mam wieksza kontrole nad nim. No i nie pcham wszystkiego do telefonu.

  11. W paragrafie ‘Co robić, jak żyć’ myślę ze brakuje rozwinięcia myśli ‘przekonać ofiarę do udzielenia uprawnień koniecznych do pobrania trojana’, czyli moze jakiś poradnik (link do czegoś wartego polecenia) odnośnie uprawnień, jakie co dają, jakie zagrożenia przynoszą etc? Chyba nie jest to temat szeroko omawiany a chyba miał by..

    • A czego w tym poradniku oczekujesz, uprawnienie do lokalizacji daje aplikacji dostęp do twojej aplikacji, z resztą uprawnień analogicznie patrzysz na nazwę, jak dasz aplikacji dostęp do pamięci urządzenia to nic jej nie powstrzyma przed pobraniem trojana lub wysłaniem twoich danych w eter.

  12. w operze mobile jest funkcja skanowania kodów qr i potrzeba aparatu

  13. Wystarczy nie rozdawać wszystkim aplikacjom wszystkich uprawnień. Jak aplikacja bez nazwy/ i bez ikony prosi o admina i możliwość pisania po innych aplikacjach lub aplikacja do śledzenia kursu jakiegoś krypto chce dostępu do plików i admina to zezwolenie jej to poprawne działanie selekcji naturalnej.

  14. Czy urządzenia z iOS są dużo bezpieczniejsze?

    • Tak. Polityka jabłuszka jest o wiele bardziej restrykcyjna jeśli chodzi o apki w sklepie.

  15. Nawet jakbym pobrał taką aplikację (a nie pobieram apek mających po kilkaset czy kilka tysięcy pobrań) i ją zainstalował, to na pewno nie odpaliłbym aktualizacji Androida mającej 1.2MB i to jeszcze po angielsku (akurat wiem jak takie aktualizacje w moich telefonach wyglądają).

    Pilnowanie uprawnień to inna sprawa…

  16. Bawią mnie ci ludzie którzy dają aplikacji kalkulatora uprawnienia do dostępu do pamięci, mikrofonu, aparatu, lokalizacji, i jakby twórcy poprosili to dostęp do własnej duszy by przyznali nie zastanawiając się ani na chwile po co kalkulatorowi możliwość wysyłania SMS i dzwonienia (w tym na numery premium) albo instalują aplikacje o nazwie “mbank lite plus supper app” z 50 pobrań i wydaną przez baobaolong studios. A potem płaczą “To przez tego androida i tego gugla cholernego , przesiadamy się na jabłko za 5k”

  17. Bardzo słaby artykuł! Jak ma być dla mas, za trudny język. Jak ma być dla nas, zbyt ogólnie! Eset daje radę, ale ludziska pytają o darmowy, a tu żadnej rady… może w komentarzach się posypią?

  18. …apropo TrendMicro. Jako firma posiadamy ich pakiet WorryFreeBusinessSecurity. W standardzie oprócz ochrony desktop licencja zapewnia ochronę na urządzenia mobilne.
    I tu pewien paradoks: Aby zainstalować ochronę np. na telefonie z systemem android należy pobrać pakiet instalacyjny i pozwolić systemowi na instalowanie apk’ów z nieznanych źródeł…..
    WFBS nie ma swojej apki w sklepie GooglePlay.

  19. Czy te aplikację prosiły o jakieś specjalne uprawnienia?

    • Tak, jak bez dostępu do pamięci miałyby zainstalować trojana?

  20. Nie Antywirus, a Firewall tutaj jest potrzebny.
    Takie połączenia zostałyby z automatu zablokowane i nic by się nie wyświetliło.
    Taka apka by sobie w telefonie była, a nie mogłaby się z niczym połączyć.
    Większości apek blokuję dostęp do Internetu (domyślne zachowanie).
    Dzięki temu nawet jak mają się pojawić jakieś reklamy, to są to puste okna :-)
    https://play.google.com/store/apps/details?id=app.greyshirts.firewall&hl=pl

    Gorzej, jak Firewall jest złośliwym programem… :D

  21. Polityka GOOGLE (tak pieszczonego na tym portalu) doprowadziła do paranoi wśród ludzi korzystających z telefonów. Paranoja doprowadziła do uśpienia czujności i poczucia kompletnego luzu jeżeli chodzi o instalację oprogramowania z wiadomego sklepu dla Androida… Jak to działa?

    Działa to tak, że każdy “od maleńkości” był uczony, że samodzielna instalacja plików *.apk to ZŁO. Bo może Ci się stać krzywda, może Ci wybuchnąć telefon w kieszeni, może Ci hakier wjechać i przeczytać SMSa itd. itp. Tylko zagrożenia, tylko niebezpieczeństwo… Ludzie odkąd jest takie urządzenie jak smartfon, byli uczeni jak te cielęta posłusznego instalowania aplikacji ze sklepu Google, zakładania konta Google i wiązania swojego telefonu (czyli de facto życia osobistego) z Google. Google Cię ochroni, Google Ci doradzi, Google nigdy Cię nie zdradzi. No jak u mamy normalnie… I my wszyscy jak te cielęta, jak te barany posłusznie beczymy i lgniemy do mamusi Google – a tymczasem MATKA TO TOKSYCZNA. Nie dość, że to bezpieczeństwo w sklepie Google jest iluzoryczne, to jeszcze uczymy się złych nawyków, akceptujemy nawet najbardziej idiotyczne dostępy do funkcji telefonu dla podstawowych aplikacji. Pytam się, PO CO KALKULATOR chce wiedzieć o mojej lokalizacji, SMSach, poł. przychodzących i adresach? Google jest winne tej patoli i myślę, że FUKSJA (nowy system od Google’a) będzie kolejnym milowym krokiem do przodu – tylko, że my stoimy już nad przepaścią…

    Są alternatywy – jest F-Droid i inne miejsca, gdzie *.apk spokojnie można pobrać od developerów działających w oparciu o otwartoźródłowe oprogramowanie, a czego nie mamy – możemy używać przez przeglądarkę. Nie potrzebujemy pierdyliarda aplikacji, które drenują baterię, bo co chwilę wysyłają jakieś pakiety w te i nazad. Czas się opamiętać.

    Oczywiście coś kosztem czegoś. Zwykle aplikacje z F-Droida (lub nakładki G-Droid) nie są tak “wypasione” jak te w sklepie Google, nie są takie cukierkowe i w ogóle, ale robią robotę i chyba o to chodzi. Każdy dla swojego dobra powinien jak najszybciej maksimum swoich aplikacji przenieść do F-Droida i tylko te niezbędne instalować z Google Stora (Mesendżery i inne badziewie, których w FDroidzie nie ma).

    Rozwiązanie idealne, to oczywiście root, instalacja custom ROM’a bez GAPSów i wzięcie spraw w swoje ręce. Nie dla każdego to jest, ale jakoś dziwnym trafem na komputerach osobistych właśnie tak pracujemy – sami instalujemy oprogramowanie i sami zarządzamy aktualizacjami (no może poza W10 gdzie wszystko jest po Orwell’owsku – przymusowe). Na telefonie też można i TRZEBA się tego nauczyć – dla własnego dobra.

    Podobne rzeczy widać już w polityce MS – oni też chcą zamknąć swoich “klientów” w ekosystemie UWP, instaluje tylko ze sklepu, aktualizuj przymusowo ZAWSZE swój system, korzystaj tylko z Office’a i tylko z docx, bo inne pliki są “niepewne” itd. itp. To samo robiło Google – siało ziarno niepewności, zwątpienia i ludzie dzisiaj nie wiedzą jak działa urządzenie, które wszędzie ze sobą zbierają i na którym mają czasami całe swoje prywatne życie…

    Skandal… :-(

    • Najsensowniesze podejście.

  22. W tym artykule zabrakło najważniejszej informacji. Od Androida 8.0 Oreo te aplikacje muszą prosić o pozwolenie na instalowanie aplikacji z nieznanych źródeł. A jak wiemy systemowe aktualizacje z nieznanych źródeł są najlepszej jakości. LOL. Selekcja naturalna dla idiotów.

    Ciekawe jest to, że wg Trend Micro dzięki BatterySaveMobi payload został pobrany 336 razy w Japonii, 56 razy w Australii i tylko 10 razy w USA oraz kilku innych krajach po parę sztuk. WTF happen in Japan?

  23. Swoją drogą te aplikacje wyglądają na tyle tandetnie, że nigdy bym nie zainstalował czegoś takiego. Złodzieje muszą być strasznie leniwi :)

  24. Hejo.
    Piszecie “Po pierwsze warto mieć antywirusa na urządzeniu z Androidem”, a nie piszecie, jaki jest przez Was polecany. No i jak tu teraz wybrać dobry spośród pierdyliarda dostępnych?

  25. Tak to już jest z “general purpose, user programable computer” – czyli, prawdziwymi komputerami, które zrobią to, o co poprosi je użytkownik – iż user może kazać im zrobić coś straszliwie głupiego (w stylu pobrania fałszywej aktualizacji systemu), a komputer to wykona.

    Jeżeli ktoś *naprawdę* nie jest w stanie pokonać kompulsywnej potrzeby instalowania czego popadnie, skąd popadnie – faktycznie, klepiej niech korzysta z sztucznie ograniczonych zabaweczek w styli iphone, (z apple’owską filozofią “walled garden” i “ekosystemu” aplikacji, gdzie trzeba zapłacić “wpisowe”, by w ogóle publikować na “rynku”) – godząc się, że urządzenie nigdy nie będzie naprawdę “Twoje”, albo – jeszcze bezpieczniej – korzysta z “dumbphone”.

    Można (i trzeba!) zrzymać się – oczywiście – na fikcyjne weryfikowanie aplikacji w play store – skoro już wciskają to g**** wszędzie, gdzie się da, niech się chociaż trochę wysilą. Tyle, iż “ofiar” tego ataku, nawet najbardziej zajadły “policjant” google nie uratuje – skoro są w stanie “zaktualizować” system w taki sposób, to i odblokowałyby instalowanie “z nieznanych źródeł”, jeżeli zostaną o to wystarczająco stanowczo “poproszone” przez dowolny, cukierkowaty program.

    Osobną kwestią jest fakt, jakie programy robiły za “dropery” i kto jest instaluje: chcesz mieć lepsze życie baterii? Nie instaluj badziewia, tylko zacznij od odpowiedniej dystrybucji (coś w stylu LineageOS – żadnych nakładek OEM!) i *nie* wciskaj tam usług google. Chcesz konwerter walut? Pomyśl, czy potrzeba mu uprawnień do czujnika ruchu i w ogóle nie myśl o instalacji takiego, który wymaga do działania google play services.

    Tyle, że to w zasadzie kwestia poboczna. Jeżeli komputer (także przenośny, z wbudowanym modemem) ma robić to, co chce od niego użytkownik, nie ma rady – z myślenia nie można
    czuć się zwolnionym. Inaczej, to jak ostrzeganie, że wtykanie losowych rzeczy w gniazdko może skutkować porażeniem (a pewnej cześci ciała w młynek do kawy – “atrakcyjnymi” doznaniami).

  26. Tak naprawdę to zrobili to samo co Volkswagen przy aferze z silnikami diesela. Tam też emisja spalin zwiększała się dopiero po tym jak były wyczuwane skety kół, jak samochód jechał na testowej platformie to wszystko było okej.

  27. Dlaczego Google Play nic z tym nie robi nie zatwierdza aplikacji dodanych do sklepu nie sprawdza pod kontem zagorzeń ani nie zatwierdza aktualizacji SAMI SĄ SOBIE WINNI!

  28. Antywirus na Androida NIE jest potrzebny. Google monitoruje aplikacje i jak zostanie wykryta złośliwa aplikacja, jest w stanie taką zdalnie odinstalować.
    Tak więc antywirusa każdy już ma. Kupno dodatkowych antywirusów to strata pieniędzy.

    • XDDDD

      Pozwolę sobie streścić Twoje podejście: “Jak już Cię okradną, to Google Ci tą apkę usunie, więc niczym się nie martw.”

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.