Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Apdraudējumi » Google Play ar 400 Trojas zirgiem

Google Play ar 400 Trojas zirgiem

Mēs parasti rekomendējam Android ierīču lietotājiem lejupielādēt lietotnes tikai no oficiālajiem veikaliem. Vislabāk — no Google Play, jo tur piedāvātās lietotnes ir gana rūpīgi pārbaudītas. Taču diezgan regulāri arī tur nonāk dažādi „kaitēkļi”, bet nesen atgadījās īpaši nopietns incidents — kļuva zināms, ka 400 lietotņu veikalā Google Play (un vēl gandrīz 3 tūkstoši citos lietotņu veikalos) ir inficētas ar Trojas zirgu DressCode.

Savu jocīgo nosaukumu šī ļaunprogrammatūra ieguva tādēļ, ka pirmoreiz (2016. gada augustā) to atrada meiteņu spēlē, kuru var dēvēt par „lelles Bārbijas simulatoru” (angliski tādas lietotnes sauc par Dress-up).

 

Sākotnējā lietotne, kurā tika atklāts Trojas zirgs. Attēls no Check Point bloga.

Sākotnējā lietotne, kurā tika atklāts Trojas zirgs. Attēls no Check Point bloga.

Tobrīd šī spēle no Google Play jau bija lejupielādēta 100–500 tūkstošus reižu. Veikalā Google Play atrada vēl ap 40 citu lietotņu, kurās bija tāds pats Trojas zirgs. Pētnieki brīdināja par to Google, un uzņēmums izņēma kaitīgās programmas no sava veikala.

Bet tad par šo Trojas zirgu ieinteresējās cita pētnieku grupa, kas nolēma vēl rūpīgāk pameklēt „kaitēkļus” — un nupat ir atradusi uzreiz aptuveni 3 tūkstošus programmu ar Trojas zirgu DressCode dažādos lietotņu veikalos. Apmēram 400 no tām — veikalā Google Play.

Gandrīz visas inficētās lietotnes bija mobilo ierīču spēles vai saistītas ar spēlēm, piemēram, padomi par spēlēšanu vai spēļu modificēšanu. Starp kaitīgajām programmām bija arī telefona darbības „optimizētāji” un citas šķietami noderīgas lietotnes.

Trojas zirgu DressCode nav viegli konstatēt, jo tā kods ir pavisam īss salīdzinājumā ar pārējo lietotnes kodu, kurā tas iekļauts. Laikam tieši tādēļ tas tik bieži palicis nepamanīts pārbaudēs pirms lietotnes ievietošanas veikalā Google Play.

Ko tad DressCode dara?

Principā Trojas zirga DressCode vienīgais uzdevums ir savienojuma izveidošana ar vadības serveri. Pēc tam serveris parasti dod Trojas zirgam komandu „gulēt”, tādēļ infekciju uzreiz nemaz nevar pamanīt. Bet, kad uzbrucējs gribēs izmantot inficēto ierīci, viņš liks tai darboties kā starpniekserverim, lai pārsūtītu tālāk interneta datplūsmu.

Inficētās Android ierīces var izmantot pakalpojumatteices uzbrukumiem. Attēls no TrendLabs Security Intelligence bloga.

Inficētās Android ierīces var izmantot pakalpojumatteices uzbrukumiem. Attēls no TrendLabs Security Intelligence bloga.

Kāds kibernoziedzniekiem no tā labums? Pirmkārt, inficētās ierīces var izmantot kā robottīklu, lai sūtītu pieprasījumus noteiktai IP adresei. Tādā veidā var „audzēt” datplūsmu, ģenerēt klikšķus uz reklāmkarogiem vai maksas hipersaitēm, kā arī organizēt DDoS uzbrukumus, lai paralizētu kādu vietni.

Inficētās Android ierīces var izmantot kā kanālu piekļuvei mājas vai uzņēmuma iekšējā tīkla resursiem. Attēls no TrendLabs Security Intelligence bloga.

Inficētās Android ierīces var izmantot kā kanālu piekļuvei mājas vai uzņēmuma iekšējā tīkla resursiem. Attēls no TrendLabs Security Intelligence bloga.

Otrkārt, ja no inficētās ierīces (teiksim, uzņēmumam piederoša viedtālruņa) ir pieejami kaut kādi vietējie resursi, tad tagad tie būs pieejami arī ļaundariem. Viņiem teorētiski ir iespēja nozagt informāciju.

Kā nesapīties robottīklā?

Šis ir tas gadījums, kad ar padomu „lejupielādēt lietotnes tikai no oficiālajiem veikaliem” būs par maz. Protams, ka veikalā Google Play ir mazāk inficētu lietotņu, nekā citos Android programmatūras veikalos, bet 400 — tas tomēr ir ļoti daudz. Turklāt starp tām ir ļoti plaši izplatītas lietotnes, kaut vai populārās spēles Minecraft mods citas populāras spēles GTA 5 stilā (mēdz būt arī tādi brīnumi). Un to, starp citu, ir lejupielādējuši vairāk nekā 500 tūkstoši cilvēku.

Tāpēc šajā gadījumā varam dot tikai divus padomus:

  1. Vērīgāk skatieties, kādas lietotnes jūs lejupielādējat. Pirms nepazīstamas lietotnes uzstādīšanas savā mobilajā ierīcē palasiet citu lietotāju atsauksmes, izlasiet, kādas piekļuves atļaujas vajadzīgas šai lietotnei, lai darbotos, un visu labi apdomājiet. Protams, arī atsauksmēm nevar akli uzticēties, bet tā ir vismaz kaut kāda informācija.
  2. Noteikti uzstādiet savā mobilajā ierīcē kādu no drošības risinājumiem. Piemēram, Kaspersky Internet Security for Android detektē Trojas zirgu DressCode kā HEUR:Backdoor.AndroidOS.Sobot.a. Ja jums ir uzstādīta Kaspersky drošības programmas maksas versija, kura automātiski skenē visas jaunās lietotnes, tad neviena no tām ar DressCode nevarēs tikt iekšā jūsu viedtālrunī vai planšetē. Kaspersky Internet Security for Android ir iekļauts arī produktā Kaspersky Internet Security – Multi-Device, kuram šobrīd spēkā ir akcija +1 licence bez maksas!

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 1 = 9

Vislabākā aizsardzība, lieliskas cenas!
Uz augšu