Još jednu nedelju, još jedan izvještaj o lažnim i opasnim aplikacijama koji se usmjeravaju na Google-ovu Play Store, privukavši desetine miliona nesumnjivih korisnika, generišući unosne prinose za svoje operatore. Ovaj put, međutim, dolazi do preokreta. Uvid u industrijski obim ovih fabrika prevara, u stalnu igru mačaka i miša koji se igraju s Googleom dok tehnološki gigant lovi kriminalce na svojoj Play Store.
Google-ove inicijative za poboljšanje bezbijednosti Play-a dobro su dokumentovane. Tu je Play Protect i njegov ubrzavač saveza za odbranu aplikacija, postoji AI skrining za zloupotrebu dozvola i Napredni program zaštite za one koji su u najvećem riziku. Ali uprkos svemu tome, zapanjujuće količine zlonamjernog softvera i dalje probijaju mrežu.
Ranije ovog mjeseca, Upstream je upozorio da Play Store ne postaje ništa sigurniji - u prvom kvartalu 2020. godine, kako kažu istraživači, broj „zlonamjernih“ Android aplikacija udvostručio se iz godine u godinu, sa lažnim transakcijama do 55%. Prema Upstreamu, nevjerovatnih 98.000 zlonamjernih aplikacija je inficiralo 43.000 uređaja prošle godine.
Teškim brojevima je teško povjerovati, dok ne pročitate izvještaje poput najnovijih iz obavještajnog i istraživačkog tima Vhite Ops Threat, objavljenog danas, 9. juna. Ovaj izvještaj slika zastrašujuću sliku sistematskog programa prevara, dizajniranog posebno da porazi Play Store-ove odbrana, u velikoj mjeri zaraziti Android korisnike. Tim kaže da njegova otkrića „nude sjajnu studiju slučaja razvoja prevara, objavljivanja, prilagođavanja i povlačenja resursa kako bi se rezervisali za buduću upotrebu.“
38 različitih aplikacija koje je White Ops otkrio i otkrio preuzete su i instalirane više od 20 miliona puta. Prijetnje nisu nove - prikazivanje lažnih oglasa kako bi se generisao prihod od pregleda i klikova za njegove operatere, automatizovane posjete određenim veb lokacijama bez ikakvih klikova korisnika, čak i uklanjanje ikona kako bi bilo otežano brisanje i produžilo lažni vijek svake aplikacije na određenom uređaju.
Svih 38 aplikacija je uklonjeno iz Play Store-a. To nije poenta ove priče. Operatori su znali da će zlonamjerna namjera ovih aplikacija biti otkrivena i one će biti uklonjene. Tako da je njihov plan bio da stalno pokreću jednu po jednu aplikaciju. „U vrijeme od kada je objavljena prva aplikacija [u januaru 2019. godine], kaže White Ops,„ prevaranti su novu aplikaciju objavljivali u prosjeku svakih 11 dana. A u prosjeku su te aplikacije skinute sa Play Store-a 17 dana kasnije. "
Google mi je potvrdio da je upoznat sa ovim nalazima i da su aplikacije uklonjene, ali nije imao dodatnih komentara.
„Te aplikacije ne pružaju pravu funkcionalnost“, rekao mi je White Ops, „jer aplikacije uklanjaju ikone sa početnog ekrana, što će nakon toga korisnicima onemogućiti pristup. Dakle, ove aplikacije su vjerovatno dizajnirane i napravljene isključivo za prevaru. "
Uprkos relativno kratkom vremenskom periodu svake prodavnice, prosječan broj instalacija za svaku od njih bio je više od 500.000. Prevarivači su zatim prilagodili svoje tehnike, poboljšavajući taktiku izbjegavanja. „Prevara je vjerovatno razvio snažniji mehanizam za izbjegavanje otkrivanja i uklanjanja. Serija od 15 aplikacija, sve objavljene nakon septembra 2019., imala je mnogo sporiju stopu uklanjanja pomoću tih novih tehnika. "
White Ops ovo opisuje kao "priču o igri mačaka i miša", u kojoj Play Store lovi prevaranta i drži ih pod kontrolom, uklanjajući lažne aplikacije onoliko brzo koliko su otkrili. " Tim je takođe primijetio dalji zaokret sa dvije najnovije aplikacije. Aplikacije sa aktivnim lažnim kodom ulaze u prodavnicu u novembru, a zatim se ažuriraju mjesec dana kasnije, a kod aktivne prevare uklonjen.
Tim White Ops sugeriše da bi ovo „mogao biti pokušaj provjere da li je uklonjeni kod katalizator uklanjanja prethodnih aplikacija iz Play Store-a. Prevaranti možda pokušavaju da tačno utvrde koje kriterijume koristi Play Store kao opravdanje za uklanjanje njihovih ranijih aplikacija. "
Alternativa je, naravno, da operateri dopuštaju aplikacijama da se pokreću, skupljajući instalacije bez pokretanja Googleovih algoritama za otkrivanje. Te aplikacije bi zatim bile dostupne za kasnije ponovno aktiviranje s lažnim kodom. Program operatera bio je sofisticiran na svim nivoima - jasno je testirao Google omotnicu da vidimo šta se dešava a šta nije. To uključuje način na koji je sakriveni lažni kod unutar APK-a aplikacije i upotrebu neobičnih znakova za prikrivanje stavke kodiranja.
Pored samog koda, ova sofisticiranost je uključivala stvaranje novih izdavača za svaku aplikaciju kako bi se maskirali linkovi i njena međusobno povezana mreža. Takve mreže lažnih izdavača poslednjih mjeseci su se pojavile zbog određenog pregleda Google-a. Jasno je da je za operatere lako istražiti, a zatim zabraniti cjelokupni katalog izdavača, a teže pratiti mrežu. Iako obično postoje zastave sa kojima su izdavači povezani, posebno s obzirom na to da su njihova podešavanja vjerovatno automatizovana, često se svodi na lov na uobičajene uzorke zlonamjernog softvera u svim aplikacijama.
Spisak lažnih aplikacija je naveden u nastavku. White Ops preporučuje korisnicima da izbrišu bilo koju od ovih aplikacija sa svojih uređaja koristeći svoj Application Manager. Ironično je da je sličan izvještaj o sigurnosti opasnosti koje vrebaju u takozvanim „kamerama ljepote“ za poboljšanje selfija objavljen u januaru. Te su aplikacije otišle dalje od zlonamjernog softvera i zarazile su uređaje malvare-om koji bi mogao ukrasti korisničke podatke.
Uvijek postoji rizik da izvještaji predstavljaju prevare oglasa, čini se da su žrtve samo oglašivači i reklamne platforme, pa je korisnicima lako pretjerano da se prijate takvim prijetnjama. Ali zapamtite, ako neka aplikacija može zaraziti vaš uređaj zlonamjernim softverom, onda može preuzimati dodatne prijetnje i može se razviti pod uputama svog spoljnog komandnog i kontrolnog servera kako bi napravila veću štetu. Ne želite nikakvu zlonamjernu aplikaciju na svom uređaju.
White Ops nije otkrio više zlonamjernog softvera u tim aplikacijama, iako je tim potvrdio da je „otkrio kod u aplikacijama za pokretanje nove instance pregledača tako što je otvorio zadani pregledač uređaja i pokazao na URL komuniciran preko komande i kontrole , a da korisnik ne zna. Međutim, nismo uspjeli da uhvatimo URL adrese u našem laboratoriju tokom istrage. "
I tako do uobičajenih preporuka: Obrišite ove aplikacije pomoću svog Upravitelja aplikacija, s obzirom da će ikone biti skrivene. Pored toga, budite pažljivi što preuzimate. Provjerite kritike. Ako vidite pritužbe na količinu oglasa, NE instalirajte tu aplikaciju. Slično tome, ako se pregledi čine automatizirani, budite jasni. Vaš uređaj je prozor u vaš digitalni svijet, nemojte previše davati ključeve.
Evo liste identifikovanih aplikacija:
Izvor: Forbes