Hakeri u aplikacijama ubacuju malvere na razne načine kako bi izbjegli bezbjednosne kontrole Google Play Store-a
Jedna od hakerskih taktika zove se verzionisanje, koju često koriste da bi malverima inficirali Android uređaje pošto njihove aplikacije prođu proces pregleda i bezbjednosne kontrole Google Play Store-a.
Verzionisanje nije nova tehnika, ali ju je teško otkriti. Ona podrazumijeva infekciju putem ažuriranja već instaliranih aplikacija. Koristi se i učitavanje malvera sa servera pod kontrolom napadača (dinamičko učitavanje koda, DCL), koje aplikaciju paktično pretvara u backdoor.
„Jedan od načina na koji zlonamjerni akteri pokušavaju da zaobiđu bezbjednosne kontrole Google Play Store-a je verzionisanje“, kaže kompanija u ovogodišnjem izveštaju o trendovima pretnji.
Verzionisanje se dešava kada programer objavi početnu verziju aplikacije u Google Play prodavnici koja se čini legitimnom i prođe naše provere, ali kasnije aplikacija dobije ažuriranje sa servera koje mijenja kod na uređaju krajnjeg korisnika koji omogućava zlonamjerne aktivnosti.
Kriminalci koji koriste ovu tehniku obično ciljaju na korisničke akreditive, podatke i finansije, napominje Google-ov tim za bezbjednost.
Google kaže da sve aplikacije i zakrpe koje se podnose prolaze kroz rigorozni PHA (potencijalno štetna aplikacija) skrining, ali neke od tih kontrola se zaobilaze sa DCL.
Aplikacije koje krše pravila označavaju se kao backdoor
Google-ov tim za bezbjednost je objasnio da aplikacije za koje se utvrdi da to rade krše politiku Google Play prodavnice o obmanjujućem ponašanju i mogu biti označene kao backdoor.
Prema smjernicama Centra za politiku Play Store-a, aplikacijama koje se distribuiraju preko Google Play izričito je zabranjeno da se mijenjaju, zamjenjuju ili ažuriraju na bilo koji drugi način osim putem zvaničnog mehanizma ažuriranja koji obezbjeđuje Google Play.
Pored toga, aplikacijama je strogo zabranjeno da preuzimaju izvršni kod (kao što su dex, JAR ili .so file) iz spoljnih izvora u zvaničnu prodavnicu Android aplikacija.
U maju je ESET otkrio aplikaciju za snimanje ekrana pod nazivom „iRecorder – Screen Recorder“ koja je bila bezopasna skoro godinu dana nakon što je prvi put objavljena na Google Play, da bi posle godinu dana aplikacija bila izmijenjena na način da omogući špijuniranje korisnika.
SharkBot malver
Primjer koji je naveo Google-ov tim je malver SharkBot, koju je otkriven u oktobru 2021. SharkBot je poznat po tome što koristi DCL metod, zahvaljujući kome se više puta pojavljivao u Play prodavnici maskiran u bezazlene aplikacije. SharkBot je bankarski malver koji vrši neovlašćene transfere novca sa kompromitovanih uređaja koristeći protokol Automated Transfer Service (ATS).
Da bi izbjegli otkrivanje, distributeri SharkBot-a koriste sada uobičajenu strategiju objavljivanja verzija sa ograničenom funkcionalnošću na Google Play, čime prikrivaju sumnjivu prirodu aplikacija. Međutim, kada korisnik preuzme trojanizovanu aplikaciju, on preuzima i punu verziju malvera.
Sharkbot se distibuira kamufliran kao antivirusni softver i razni sistemski programi. Do sada je zarazio hiljade korisnika putem aplikacija koje su prošle provere u Google Play prodavnici.
ThreatFabric je nedavno otkrio da distributeri malvera iskorišćavaju grešku u Androidu kako bi zlonamjerne aplikacije predstavili kao benigne tako što mijenjaju komponente aplikacije tako da aplikacija kao cjelina ostaje validna.
„Sajber kriminalci mogu da imaju nekoliko aplikacija objavljenih u prodavnici istovremeno pod različitim nalozima programera, međutim, samo se jedna ponaša kao zlonamjerna, dok je druga rezervna kopija koja se koristi nakon uklanjanja prve“, objasnili su stručnjaci ThreatFabric-a.
Takva taktika pomaže akterima da održavaju veoma duge kampanje, minimizirajući vrijeme potrebno za objavljivanje još jednog dropper-a i nastavak kampanje distribucije.
Da bi se umanjili potencijalni rizici, preporuka je da se korisnici Androida drže pouzdanih izvora za preuzimanje aplikacija i da omoguće Google Play Protect da bi dobijali obavještenja kada se na uređaju pronađe potencijalno štetna aplikacija (PHA).