Ktoś może poczuć się, że piszemy o oczywistych kwestiach. Ktoś inny może uznać, że przecież jego to nie dotyczy. Teoretycznie wszystkie te osoby mają rację, ale cel jest w uświadamianiu zagrożenia, które niesie ze sobą korzystanie z oficjalnego sklepu Androida. Ten wymaga certyfikacji Google, co jest warte podkreślenia. Po raz kolejny spotykamy się z oficjalnym ujawnieniem spyware, które przez autorów zostało nazwane Exodus, a jego celem było prześwietlenie zarażonych użytkowników. Sprawa teraz wychodzi na jaw, a swoje początki ma w 2016 roku.
Exodus przez długi czas okradał użytkowników Sklepu Play
Specjaliści z Security Without Borders opublikowali szczegóły spyware, który został określony przez nich mianem Exodus, który składa się na dwie części — Exodus One i Exodus Two. Od razu zaznaczam, że nie powinniście czuć się zagrożeni, bo atak dotyczył Włoch. Od 2016 roku powstało multum aplikacji w Sklepie Play, które działały w identyczny sposób. Większość z nich została pobranych maksymalnie kilkanaście razy, choć jedna z nich przekroczyła 350 instalacji. W sumie zagrożonych może być ponad 1000 osób. Jak to działa? W skrócie tak, jak większość dzisiejszych zagrożeń:
- Exodus One — poprzez odpowiednie zezwolenia, ukryte przez różnorakie argumentacje, spyware otrzymywał informacje o IMEI urządzenia oraz numerze telefonu. Te były wysyłane na zewnętrzne serwery. Dostęp do zainfekowanego smartfona był teraz możliwy w sposób zdalny.
- Exodus Two — koniec ograniczeń, bo na zewnętrzne serwery trafiały takie informacje, jak:
- lista zainstalowanych aplikacja
- nagrywane dźwięki z wbudowanego mikrofonu
- historia przeglądania z Chrome’a lub przeglądarki Samsunga
- wydarzenia z kalendarza
- historia połączeń
- nagrywane połączenia telefoniczne
- zdjęcia z aparatu (robione na zawołanie)
- informacje o połączonych BTS-ach
- książka adresowa
- historia rozmów z Messengera
- lista kontaktów z Facebooka
- zrzuty ekranu z uruchamianych aplikacji
- szczegóły z Gmaila
- szczegóły z komunikatora IMO
- szczegóły ze Skype’a
- przekazywanie wszystkich SMS-ów
- wszystko z WeChat, Telegrama, Vibera, WhatsApp
- hasła do WiFi
- wskazania modułu GPS
Innymi słowy, jeśli zostaliście zainfekowani i byliście potencjalnymi ofiarami dla autorów Exodusa, to ci wiedzieli o Was wszystko.
Oczywiście autorzy poinformowali o swoim odkryciu Google. Co zrobili Amerykanie? Usunęli oni około 25 aplikacji, które pokrywały się z Exodusem. Dodatkowo firma podziękowała za możliwość rozszerzenia modelu wykrywania zagrożeń Google Play Protect.
Zobacz też: Twitter i tryb ciemny dla OLED-ów.
Kto stoi za atakami Exodus?
Jak wspomniałem wcześniej, narażeni byli głównie Włosi, a za całym atakiem najprawdopodobniej stała firma eSurv. Skąd o tym wiadomo? Oczywiście dotarto do nich jak po nitce do kłębka. W samych aplikacjach nie ma śladu o tej firmie, ale śledząc ruch sieciowy związany z wysyłaniem danych na zewnętrzne serwery, to udało się namierzyć właściciela poszczególnych adresów IP. Rada na przyszłość? Taka, jak zawsze, czyli nie instalujcie niczego niesprawdzonego z żadnego źródła, nawet Sklepu Play. Jak sami widzicie, Google reaguje, dopiero gdy ktoś ich poinformuje o zagrożeniu. To zarówno śmieszne, smutne, jak i żałosne, więc trzeba być wyczulonym na wszystko.
Źródło: Security Without Borders