Wykryto dwie aplikacje w sklepie Google Play, które zostały pobrane ponad 1,5 miliona, szpiegując użytkowników i wysyłając dane do Chin.

Badacze z firmy Pradeo zajmującej się cyberbezpieczeństwem odkryli w Google Play dwie złośliwe aplikacje, które blokują oprogramowanie szpiegujące i szpiegują nawet 1,5 miliona użytkowników.

Obie aplikacje są aplikacjami do zarządzania plikami tego samego programisty i wykryto, że wysyłają dane do wielu serwerów w Chinach.

Pierwsza aplikacja o nazwie „Odzyskiwanie plików i odzyskiwanie danych” (com.spot.music.filedate) ma ponad 1 milion instalacji, a drugi o nazwie „Menedżer plików” (com.file.box.master.gkd) ma ponad 500 000 instalacji.

„Są zaprogramowane tak, aby uruchamiały się bez interakcji użytkownika i po cichu eksfiltrowały poufne dane użytkowników na różne złośliwe serwery zlokalizowane w Chinach. Powiadomiliśmy Google o odkryciu przed opublikowaniem tego alertu”. – czytamy w analizie opublikowanej przez Pradeo.

Obie aplikacje zostały zaprojektowane w celu kradzieży szerokiego zakresu informacji, w tym list kontaktów użytkowników, plików multimedialnych (zdjęć, treści audio i wideo), lokalizacji w czasie rzeczywistym, kodu kraju komórkowego, nazwy operatora sieci, kodu sieci dostawcy karty SIM , wersja systemu operacyjnego, marka i model urządzenia.

Badacze zauważyli, że obie aplikacje wykonują ponad sto transmisji zebranych danych, co jest nietypowe dla współczesnego oprogramowania szpiegującego.

Obie aplikacje mają dużą liczbę użytkowników, ale nie mają żadnych recenzji, co sugeruje, że cyberprzestępcy wykorzystali farmę instalacji lub emulatory urządzeń mobilnych do sfałszowania tych liczb w celu podniesienia pozycji aplikacji w sklepie.

• Media skompilowane w aplikacji: zdjęcia, treści audio i wideo
• Lokalizacja użytkownika w czasie rzeczywistym
• Mobilny numer kierunkowy kraju
• Nazwa dostawcy sieci
• Kod sieci dostawcy karty SIM
• Numer wersji systemu operacyjnego, który może prowadzić do luk w zabezpieczeniach systemu, takich jak oprogramowanie szpiegujące Pegasus
• Marka i model urządzenia

Obie aplikacje mają zaawansowane uprawnienia, które pozwalają im ukryć ikony w widoku ogólnym, aby utrudnić ich odinstalowanie.

Poniżej zalecenia ekspertów:

Po pierwsze, radzimy każdemu, kto korzysta z tych aplikacji, aby je usunął.

Jako osoba fizyczna

• Nie pobieraj aplikacji, które nie mają żadnych recenzji, podczas gdy tysiące użytkowników.
• Przeczytaj recenzje, jeśli takie istnieją, zazwyczaj odzwierciedlają one prawdziwą naturę aplikacji.
• Zawsze uważnie czytaj uprawnienia przed ich zaakceptowaniem.

Jako organizacja

• Uwrażliwiaj współpracowników na zagrożenia mobilne.
• Zautomatyzuj wykrywanie i reagowanie na urządzenia mobilne, aby zapewnić użytkownikom bezpieczną elastyczność, sprawdzając aplikacje i zapobiegając ich uruchamianiu, gdy są niezgodne z polityką bezpieczeństwa.

Odkrycie, o którym mowa, nie jest odosobnionym przypadkiem. Niestety w ostatnich latach wykryto wiele złośliwych aplikacji dostępnych w oficjalnym sklepie Google Play, co wskazuje na potrzebę udoskonalenia procesów analizy aplikacji na etapie publikowania i przez cały cykl życia w sklepach z aplikacjami. Zalecam instalowanie tylko aplikacji, które znamy, opublikowanych przez wiarygodnych programistów i, co najważniejsze, których naprawdę potrzebujemy.

Obserwuj mnie na Twitterze: @zagadnienia bezpieczeństwa I Facebook I Mastodont

Pierluigiego Paganiniego

(Sprawy bezpieczeństwa – hakerstwo, Android)

Podziel się