Użytkownicy Androida od samego początku swojej przygody z systemem Google’a informowani są, że bezpieczne aplikacje można pobrać z oficjalnego sklepu z aplikacjami – Google Play. Okazuje się jednak, że ta zasada nie zawsze się sprawdza, czego dowodem jest raport Trend Micro, w którym przeczytać możemy, że ze swojego sklepu z aplikacjami gigant z Mountain View zmuszony był usunąć ponad 50 różnych programów, które wyświetlały nachalne reklamy i kradły hasła dostępowe do Facebooka.
Jak wyglądał proces infekcji użytkownika?
W przypadku malware, które otrzymało nazwę GhostTeam, cyberprzestępcy skorzystali z popularnej metody infekcji użytkownika za pośrednictwem sklepu Google Play. Aplikacja, która instalowana była na urządzeniu, sama w sobie była nieszkodliwa, a nawet spełniała przedstawione w opisie zadanie. Dopiero za jej pośrednictwem cyberprzestępcy pobierali kolejny program, który był po prostu czystą aplikacją malware – jej jedynym zdaniem był zarobek na użytkowniku. Z uwagi na to, że malware do poprawnego funkcjonowania wymaga uprawnień administratora, to osoby stojące za GhostTeam starały się nakłonić właściciela smartfona do nadania odpowiednich uprawnień za pomocą wyświetlanych komunikatów i ostrzeżeń.
Jakie są możliwości aplikacji?
GhostTeam posiada dwa główne moduły zarobkowe, z których korzysta po skontaktowaniu się z serwerami cyberprzestępców. Przedstawiam Wam je poniżej.
Wyświetlanie reklam
Po aktywacji i połączeniu się z serwerem cyberprzestępców malware rozpoczyna swoją główną działalność zarobkową, a mianowicie wyświetla nachalne reklamy użytkownikowi w każdym możliwym miejscu, tak, by zmaksymalizować zysk. Z powodu braku dyskrecji użytkownik zazwyczaj po kilku chwilach zorientuje się, że coś jest nie tak, lecz może nie być w stanie usunąć odpowiedzialnej za szkody aplikacji, ponieważ nie wyrażał on zgody na jej instalację.
Kradzież danych dostępowych do Facebooka
Kolejnym niemiłym dodatkiem, który znaleźć możemy w malware GhostTeam, jest moduł odpowiadający za kradzież danych dostępowych do Facebooka. Co interesujące, program jest na tyle zaawansowany, że nie wyświetla żadnych nakładek imitujących pola logowania najpopularniejszego portalu społecznościowego świata. Zamiast tego monitoruje uruchamianie społecznościowej aplikacji Facebooka i gdy wykryje takie działanie, to uruchamia zwyczajną stronę logowania w przeglądarce, gdzie wstrzyknięty jest złośliwy kod JavaScript, który zapisuje wszystkie wprowadzane znaki, a następnie przesyła je na serwery cyberprzestępców. Zdobyte konta są wykorzystywane prawdopodobnie do sprzedaży polubień na popularnych serwisach aukcyjnych.
Co robić, jak żyć?
Złośliwe aplikacje odpowiedzialne za atak zostały już usunięte ze sklepu Google Play. Samo skasowanie programu odpowiedzialnego za instalację malware jednak nie wystarczy – sprawdźcie, czy na Waszym smartfonie nie jest zainstalowana żadna aplikacja z tej listy stworzonej przez Trend Micro. Jeśli znajdziecie jakąkolwiek podejrzaną pozycję, to jak najszybciej ją usuńcie. Bądźcie bezpieczni.
Źródło: Avast / Trend Micro