NIIN PALJON BOUNCER: UUSI ANDROID HAITTAOHJELMIA KÄYTTÄÄ FACEBOOK LEVITTÄÄ - TECHCRUNCH - ANDROID - 2019

Anonim

Vaikka Google äskettäin esitteli Bouncer-haittaohjelmien estämisjärjestelmän, jotta Android Market voitaisiin pitää turvallisina haittaohjelmilta, käsityöläiset roskapostittajat ja huijausyritykset voivat edelleen etsiä tapoja rajoitusten avulla saada ohjelmistoa käyttäjien puhelimiin. Viimeisin esimerkki? Haittaohjelmaohjelma naamioitui, harmittomana, Android-sovelluksena nimeltä "any_name.apk". Ja näyttää, että haittaohjelmat käyttävät Facebookin app Android-puhelimissa levittämiseen.

Ohjelmisto löydettiin tietoturvayhtiö Sophosilta, joka havaitsi haittaohjelmat saatuaan Facebook-ystäväpyynnön. Käyttäjän profiilin tarkistamisen yhteydessä tutkija Vanja Svajcer löysi pyynnön esittäjän Facebook-profiilisivulle linkin, joka ohjaten selainta napsauttamalla verkkoselain, joka käynnisti tuntemattoman sovelluksen automaattisen lataamisen laitteeseen.

Ohjelmisto on asennettu ja ladattu välittömästi ilman lupaa tai sisäänpääsyä loppukäyttäjältä. Vaikka Svajcer ei kuitenkaan mainitse tätä analyysissään, ohjelmiston asentamista automaattisesti Google Android Marketin ulkopuolelta, puhelimen oletusasetukset on muutettava. Tyypillisesti Android-puhelimissa on mukana asetus, joka estää mobiilisovellusten asentamisen lähteistä virallisen Android Marketin lisäksi. Monet mielestäni Android-käyttäjät voivat vaihtaa tätä asetusta, koska he nauttivat vapaudesta, jonka Android tarjoaa sovellusten löytämisestä vaihtoehtoisista sovelluskaupoista ja latauspaikoista - kuten aarteenostosta, joka on esimerkiksi XDA Developers -foorumi.

Valitettavasti tällaiset haittaohjelmat ovat ikävä sivuvaikutus. Ja mikään Bouncer ei voi tehdä sitä. Linkki, jota tutkija napsautti, ei näyttänyt olevan APK-tiedosto luonteeltaan sen URL-osoitetta, vain tyypillinen verkkosivusto. Ja se sijoitettiin käyttäjän Tietoja minusta -osiosta Facebookissa, ikään kuin se olisi linkki kyseisen henkilön kotisivulle.

Tietenkin monet ihmiset yksinkertaisesti jättäisivät ystävälliseltä pyynnöstä jonkun, jota he eivät tienneet, mutta uteliaisuus usein saa meistä paremman. ( Tunnenko heidät? Tapasimmeko jonakin päivänä, ja unohdin?) Yksi virheellinen klikkaus ja ooppera, olet saanut tartunnan.

Tässä nimenomaisessa tapauksessa kyseinen haittaohjelma näyttää olevan ohjelma, jonka tarkoituksena on saada rahaa petoksille premium rate -puhelupalvelujen kautta, joka on Yhdysvaltojen ulkopuolella suosittu huijaus, johon kuuluu epäilyttävien käyttäjien lähettämistä tekstiviesteistä korkean hinnan numeroina (jotka veloittavat). Hahmot, jotka toimivat numeroina, päätyvät keräämään rahat uhrien tileiltä.

Sovellus yrittää liittää itsensä Opera-selaimeen ja salattu konfigurointitiedosto sisältää valintanumerot kaikille tuetuille maille, joissa maksunopeusnumerot ovat isännöityjä.

Sivuhuomautuksena: muutama päivä myöhemmin tutkija vieraili samassa URL-osoitteessa, mutta hänet suunnattiin täysin uudelle sivustolle, jossa toinen APK-tiedosto ladattiin automaattisesti (hilpeästi nimeltään "allnew.apk"). Tämä oli funktionaalisesti samanlainen, mutta erilainen binäärisellä tasolla, mikä osoitti, että se oli saman haittaohjelman uusi versio.

Ehkä on aika, että Androidin Bouncer-kaveri saa esiasennettuna myös puhelimiin?

UPDATE: Puhuimme Googlelle tästä ongelmasta, ja he kertoivat meille, että Sophos-videossa kuvattu ohjelmiston asennusprosessi ei olisi voinut tapahtua, kuten on osoitettu. Sovellus olisi ladannut myös laitteeseen ilman haittaohjelmia sisältävää APK-tiedostoa, mutta lisäkäyttäjien aloittamat vaiheet olisi pitänyt tapahtua ennen kuin ohjelmisto asennettiin ja suoritti kuvatulla tavalla. Odotamme edelleen Sophosin vastausta tällä rintamalla.

Jotta selkeä, Bouncer on hyvä ensimmäinen askel kohti Android-käyttäjien suojelua, mutta riippumatta siitä, mitä menetelmiä Android Marketin lukitsemiseen käytetään, roskapostittajat ja huijarit voivat aina löytää toisen tien.

UPDATE # 2: Olemme tavoitelleet tutkijalle, ja tässä on hänen vastauksensa.

Haittaohjelmat ladataan, mutta niitä ei ole asennettu automaattisesti. Siksi video näyttää vain latauksen. Tavallisten käyttäjien kohdalla se voi kuitenkin olla vakava hyökkäys. Kokemukseni mukaan he harvoin tarkistavat käyttöoikeudet, kun he asentavat sovelluksen. Yksinkertaisia ​​sosiaalisen tekniikan temppuja voitaisiin käyttää huijaamaan sovelluksen asentamiseen.

Joten, vaikka tämä ei hyödynnä eräitä Android-heikkouksia, se on mielenkiintoinen yhdistelmä web-pohjaisen hyökkäyksen, joka sopii Android-laitteille. Ja on tietenkin mielenkiintoista nähdä, että Android käyttää Android-haittaohjelmia tällä tavalla.