Η Google εξηγεί πώς το κακόβουλο λογισμικό Android γλιστράει στο Google Play Store
Η ομάδα ασφαλείας του Google Cloud αναγνώρισε μια κοινή τακτική που είναι γνωστή ως έκδοση εκδόσεων που χρησιμοποιείται από κακόβουλους παράγοντες για να παρασύρουν κακόβουλο λογισμικό σε συσκευές Android, αφού απέφυγαν τη διαδικασία ελέγχου και τους ελέγχους ασφαλείας του Google Play Store.
Η τεχνική λειτουργεί είτε εισάγοντας τα κακόβουλα ωφέλιμα φορτία μέσω ενημερώσεων που παραδίδονται σε ήδη εγκατεστημένες εφαρμογές είτε φορτώνοντας τον κακόβουλο κώδικα από διακομιστές υπό τον έλεγχο των παραγόντων απειλής σε αυτό που είναι γνωστό ως
φόρτωση δυναμικού κώδικα (DCL)
.
Επιτρέπει στους φορείς απειλών να αναπτύξουν τα ωφέλιμα φορτία τους ως κώδικα εγγενούς, Dalvik ή JavaScript σε συσκευές Android, παρακάμπτοντας τους ελέγχους στατικής ανάλυσης του καταστήματος εφαρμογών.
“Ένας τρόπος με τον οποίο οι κακόβουλοι παράγοντες προσπαθούν να παρακάμψουν τους ελέγχους ασφαλείας του Google Play είναι μέσω της έκδοσης”, αναφέρει η εταιρεία στη φετινή
έκθεση τάσεων απειλών
.
“Η έκδοση πραγματοποιείται όταν ένας προγραμματιστής κυκλοφορεί μια αρχική έκδοση μιας εφαρμογής στο Google Play Store που φαίνεται νόμιμη και περνά τους ελέγχους μας, αλλά αργότερα λαμβάνει μια ενημέρωση από έναν διακομιστή τρίτου μέρους που αλλάζει τον κωδικό στη συσκευή τελικού χρήστη που ενεργοποιεί την κακόβουλη δραστηριότητα. “
Ενώ η Google λέει ότι όλες οι εφαρμογές και οι ενημερώσεις κώδικα που υποβάλλονται για συμπερίληψη στο Play Store υποβάλλονται σε αυστηρό έλεγχο PHA (Πιθανώς Επιβλαβής Εφαρμογή), “ορισμένα από αυτά τα στοιχεία ελέγχου” παρακάμπτονται μέσω του DCL.
.png)
Παράκαμψη των στοιχείων ελέγχου ασφαλείας του Play Store μέσω της έκδοσης (Google)
Η Google εξήγησε ότι οι εφαρμογές που βρέθηκαν να εμπλέκονται σε τέτοιες δραστηριότητες παραβιάζουν το
Πολιτική παραπλανητικής συμπεριφοράς του Google Play
και θα μπορούσε να χαρακτηριστεί ως
κερκόπορτες
.
Σύμφωνα με τις οδηγίες του Κέντρου Πολιτικής Play της εταιρείας, οι εφαρμογές που διανέμονται μέσω του Google Play απαγορεύεται ρητά να αλλάξουν, να αντικαταστήσουν ή να ενημερώσουν τον εαυτό τους με οποιοδήποτε μέσο εκτός από τον επίσημο μηχανισμό ενημέρωσης που παρέχεται από το Google Play.
Επιπλέον, οι εφαρμογές απαγορεύεται αυστηρά να κατεβάζουν εκτελέσιμο κώδικα (όπως αρχεία dex, JAR ή .so0 από εξωτερικές πηγές στο επίσημο App Store του Android.
Η Google τόνισε επίσης μια συγκεκριμένη παραλλαγή κακόβουλου λογισμικού που ονομάζεται SharkBot, η οποία εντοπίστηκε για πρώτη φορά από την ομάδα πληροφοριών της Cleafy’s Threat στο
Οκτώβριος 2021
και είναι γνωστό για τη χρήση αυτής της τεχνικής στη φύση.
Το SharkBot είναι τραπεζικό κακόβουλο λογισμικό που θα πραγματοποιεί μη εξουσιοδοτημένες μεταφορές χρημάτων μέσω του πρωτοκόλλου Automated Transfer Service (ATS) μετά από παραβίαση μιας συσκευής Android.
Για να αποφύγουν τον εντοπισμό από τα συστήματα του Play Store, οι παράγοντες απειλών που είναι υπεύθυνοι για το SharkBot έχουν υιοθετήσει την κοινή πλέον στρατηγική της κυκλοφορίας εκδόσεων με περιορισμένη λειτουργικότητα στο Google Play, αποκρύπτοντας τον ύποπτο χαρακτήρα των εφαρμογών τους.
Ωστόσο, μόλις ένας χρήστης κατεβάσει την trojanized εφαρμογή, κατεβάζει την πλήρη έκδοση του κακόβουλου λογισμικού.
Το Sharkbot έχει καμουφλαριστεί ως λογισμικό προστασίας από ιούς Android και διάφορα βοηθητικά προγράμματα συστήματος και έχει μολύνει με επιτυχία χιλιάδες χρήστες μέσω εφαρμογών που πέρασαν τους ελέγχους υποβολής του Google Play Store για κακόβουλη συμπεριφορά.
Ο δημοσιογράφος για την κυβερνοασφάλεια Brian Krebs τόνισε επίσης τη χρήση του α
διαφορετική τεχνική συσκότισης κακόβουλου λογισμικού για κινητά
για τον ίδιο σκοπό,
αποκαλύφθηκε πρόσφατα
από ερευνητές ασφαλείας ThreatFabric.
Αυτή η μέθοδος καταστρέφει αποτελεσματικά τα εργαλεία ανάλυσης εφαρμογών της Google, εμποδίζοντάς τα να σαρώνουν κακόβουλα APK (πακέτα εφαρμογών Android). Ως αποτέλεσμα, αυτά τα επιβλαβή APK μπορούν να εγκατασταθούν με επιτυχία στις συσκευές των χρηστών, παρόλο που έχουν επισημανθεί ως μη έγκυρα.
