Cei mai periculoși viruși pentru Android care au ajuns în Google Play

După ce am explicat cum ajung programele malware în Google Play sau App Store, e timpul să intru în detalii despre troienii care fentează mecanismele anti-fraudă ale Google Play.

Unele programe malware sunt foarte subtile, pe când altele sunt mai degrabă rudimentare. Din categoria a doua, în China, sunt foarte răspândite campaniile Shuabang, care constau în promovarea frauduloasă a unor aplicații, care primesc un scor bun și comentarii pozitive, pentru a crește șansele de a fi descărcate de către utilizatorii de dispozitive Android.

Aplicațiile folosite în astfel de campanii „publicitare“ nu sunt foarte periculoase pentru posesorul dispozitivelor infectate, în sensul că nu fură bani sau date. Nu sunt însă nici total inofensive, pentru că pot descărca alte aplicații cu efecte neplăcute. De exemplu, un consum suplimentar de trafic de net sau apeluri către numere internaționale.

În unele situații, mai rar întâlnite, pot să instaleze aplicații plătite, folosind cardul asociat contului de Google Play. Pentru a le răspândi, infractorii creează numeroase conturi false Google Play sau infectează alte dispozitive cu un malware capabil să execute anumite comenzi date de ei și vizează, în special, Google Play.

Cum sunt păcălite mecanismele de protecție pentru Android

Unul dintre troienii capabili să păcălească mecanismele de protecție ale Google într-un mod mai sofisticat este Guerilla. Ajunge pe un dispozitiv prin intermediul rootkit-ului Leech, cu ajutorul căruia atacatorul obține drepturi privilegiate asupra unui dispozitiv.

Are, astfel, acces la informații importante și libertatea să folosească date precum numele de utilizator, parole și token-uri de autentificare, necesare pentru ca o aplicație să comunice cu serviciile Google.

Odată instalat, troianul Guerilla se folosește de datele obținute pentru a părea că este o aplicație legitimă din Google Play. Dezvoltatorii lui au fost foarte atenți la detalii: malware-ul interacționează cu Google Play ca un utilizator real. Înainte de ajunge la o aplicație anume, Guerilla face o căutare în lista de aplicații, la fel cum ar proceda o persoană. Chiar dacă avem de-a face cu un malware complex, este important de reținut că poate păcăli mecanismele Google Play doar de pe dispozitive cărora li s-a făcut root.

Un alt exemplu de troian ieșit din comun este Ztorg, pe care dezvoltatorii l-au introdus într-un mod foarte creativ în Google Play.

Inițial, malware-ul Ztorg părea un troian de tip SMS, dar la o examinare mai atentă s-a dovedit că includea, criptat, un alt troian, care putea obține drepturi de administrator. Aplicațiile în care a fost detectat Ztorg SMS erau un browser și o aplicație de măsurare a nivelului de zgomot.

Se pare că infractorii s-au hotărât pe parcurs să adauge o nouă funcționalitate și au acționat în mai multe etape: mai întâi au introdus o versiune obișnuită de Ztorg, i-au făcut unele actualizări neinfectate, după care au adăugat malware-ul capabil să obțină drepturi de administrator. În acest mod, au făcut bani de la început: o dată prin SMS-urile la numere cu suprataxă și ulterior prin valorificarea datelor obținute.

Troianul Ztorg apare mereu în Google Play și se bazează de fiecare dată pe alte tehnici pentru a păcăli sistemul Google și pe utilizatori. Îngrijorător este că poți să descarci o aplicație inofensivă, iar după câteva zile să îi faci o actualizare care adaugă niște funcționalități malware.

Unul dintre cei mai periculoși troieni bancari de pe Android

Acecard este capabil să imite aproximativ 30 de aplicații financiare. Știe să facă de toate: fură mesaje din partea băncii, creează ferestre false pentru aplicațiile reale, determinându-i pe utilizatori să-și introducă datele de identificare, pentru a fura date personale și despre conturi bancare.

Acecard poate imita și alte aplicații, în afară de cele financiare: servicii de mesagerie ca WhatsApp sau Skype, rețele sociale ca Facebook sau Twitter, conturi de Gmail, dar și aplicații ca Google Play, PayPal sau Google Music sunt ținta acestui troian. Metoda tipică de răspândire este imitarea unor programe populare: Flash Player, PornoVideo sau jocuri.

La capitolul recomandări pentru a evita astfel de programe, chiar dacă ele ajung în magazinele oficiale de aplicații, aș trece următoarele: caută, pe cât posibil, aplicații ale unor dezvoltatori cunoscuți și nu instala orice aplicație găsită pe Google Play. Nu în ultimul rând, folosește o soluție de securitate plătită, nu da click pe link-uri suspecte și nu face root dispozitivelor Android.

Dan Demeter
Opinie scrisa de
Dan Demeter
01/11/2017
Dan este Security Researcher în cadrul echipei globale de cercetare a Kaspersky, GReAT (Global Research and Analysis Team). Principalele lui domenii de interes sunt sistemele distribuite și atacurile informatice asupra sistemelor IoT.
Aboneaza-te la newsletter

Aboneaza-te acum la newsletter și primești cele mai noi: Articole, Review-uri, Tutoriale și Prețuri direct pe adresa ta de E-mail