Ktoś może poczuć się, że piszemy o oczywistych kwestiach. Ktoś inny może uznać, że przecież jego to nie dotyczy. Teoretycznie wszystkie te osoby mają rację, ale cel jest w uświadamianiu zagrożenia, które niesie ze sobą korzystanie z oficjalnego sklepu Androida. Ten wymaga certyfikacji Google, co jest warte podkreślenia. Po raz kolejny spotykamy się z oficjalnym ujawnieniem spyware, które przez autorów zostało nazwane Exodus, a jego celem było prześwietlenie zarażonych użytkowników. Sprawa teraz wychodzi na jaw, a swoje początki ma w 2016 roku.

Exodus przez długi czas okradał użytkowników Sklepu Play

Specjaliści z Security Without Borders opublikowali szczegóły spyware, który został określony przez nich mianem Exodus, który składa się na dwie części — Exodus One i Exodus Two. Od razu zaznaczam, że nie powinniście czuć się zagrożeni, bo atak dotyczył Włoch. Od 2016 roku powstało multum aplikacji w Sklepie Play, które działały w identyczny sposób. Większość z nich została pobranych maksymalnie kilkanaście razy, choć jedna z nich przekroczyła 350 instalacji. W sumie zagrożonych może być ponad 1000 osób. Jak to działa? W skrócie tak, jak większość dzisiejszych zagrożeń:

  • Exodus One — poprzez odpowiednie zezwolenia, ukryte przez różnorakie argumentacje, spyware otrzymywał informacje o IMEI urządzenia oraz numerze telefonu. Te były wysyłane na zewnętrzne serwery. Dostęp do zainfekowanego smartfona był teraz możliwy w sposób zdalny.
  • Exodus Two — koniec ograniczeń, bo na zewnętrzne serwery trafiały takie informacje, jak:
    • lista zainstalowanych aplikacja
    • nagrywane dźwięki z wbudowanego mikrofonu
    • historia przeglądania z Chrome’a lub przeglądarki Samsunga
    • wydarzenia z kalendarza
    • historia połączeń
    • nagrywane połączenia telefoniczne
    • zdjęcia z aparatu (robione na zawołanie)
    • informacje o połączonych BTS-ach
    • książka adresowa
    • historia rozmów z Messengera
    • lista kontaktów z Facebooka
    • zrzuty ekranu z uruchamianych aplikacji
    • szczegóły z Gmaila
    • szczegóły z komunikatora IMO
    • szczegóły ze Skype’a
    • przekazywanie wszystkich SMS-ów
    • wszystko z WeChat, Telegrama, Vibera, WhatsApp
    • hasła do WiFi
    • wskazania modułu GPS

Innymi słowy, jeśli zostaliście zainfekowani i byliście potencjalnymi ofiarami dla autorów Exodusa, to ci wiedzieli o Was wszystko.

Oczywiście autorzy poinformowali o swoim odkryciu Google. Co zrobili Amerykanie? Usunęli oni około 25 aplikacji, które pokrywały się z Exodusem. Dodatkowo firma podziękowała za możliwość rozszerzenia modelu wykrywania zagrożeń Google Play Protect.

Zobacz też: Twitter i tryb ciemny dla OLED-ów.

Kto stoi za atakami Exodus?

Jak wspomniałem wcześniej, narażeni byli głównie Włosi, a za całym atakiem najprawdopodobniej stała firma eSurv. Skąd o tym wiadomo? Oczywiście dotarto do nich jak po nitce do kłębka. W samych aplikacjach nie ma śladu o tej firmie, ale śledząc ruch sieciowy związany z wysyłaniem danych na zewnętrzne serwery, to udało się namierzyć właściciela poszczególnych adresów IP. Rada na przyszłość? Taka, jak zawsze, czyli nie instalujcie niczego niesprawdzonego z żadnego źródła, nawet Sklepu Play. Jak sami widzicie, Google reaguje, dopiero gdy ktoś ich poinformuje o zagrożeniu. To zarówno śmieszne, smutne, jak i żałosne, więc trzeba być wyczulonym na wszystko.

 

Źródło: Security Without Borders

Google News
Obserwuj ANDROID.COM.PL w Google News i bądź zawsze na bieżąco!
Obserwuj

Łukasz Pająk

Wieczny student informatyki, ale już magister inżynier, niedoszły żołnierz, pasjonat mobilnych technologii, motoryzacji i broni, jeden z nielicznych fanów polskiej koszykówki.