Οι ερευνητές της Kaspersky ανίχνευσαν μια εφαρμογή Trojan που παραπλανάει τους χρήστες με αυτόκλητες διαφημίσεις και ενισχύει την εγκατάσταση εφαρμογών για διαδικτυακές αγορές – ξεγελώντας τόσο τους χρήστες όσο και τους διαφημιζόμενους.
Αυτή η κακόβουλη εφαρμογή «επισκέπτεται» smartphone app stores, «κατεβάζει» και εκκινεί εφαρμογές και αφήνει ψευδείς κριτικές εκ μέρους του χρήστη, όλα εν αγνοία του κατόχου της συσκευής.
Το Trojan, με τίτλο «Shopper», κέντρισε την προσοχή των ερευνητών μετά την εκτεταμένη χρήση της υπηρεσίας προσβασιμότητας της Google. Η υπηρεσία επιτρέπει στους χρήστες να ορίζουν μια φωνή για να διαβάζουν το περιεχόμενο της εφαρμογής και να αυτοματοποιούν την αλληλεπίδραση με το περιβάλλον εργασίας χρήστη – σχεδιασμένη για να βοηθά τα άτομα με αναπηρίες. Ωστόσο, στα χέρια των επιτιθέμενων αυτό η λειτουργία αποτελεί μια σοβαρή απειλή για τον ιδιοκτήτη της συσκευής.
Μόλις έχει την άδεια να χρησιμοποιήσει την υπηρεσία, το κακόβουλο λογισμικό μπορεί να αποκτήσει σχεδόν απεριόριστες ευκαιρίες για να αλληλοεπιδράσει με τη διεπαφή του συστήματος και τις εφαρμογές. Μπορεί να καταγράψει δεδομένα που εμφανίζονται στην οθόνη, να πατήσει κουμπιά, ακόμη και να προσομοιώσει τις κινήσεις του χρήστη.
Δεν είναι γνωστό ακόμα πώς εξαπλώνεται η κακόβουλη εφαρμογή, ωστόσο, οι ερευνητές της Kaspersky υποθέτουν ότι μπορεί να γίνει λήψη της από τους κατόχους συσκευών από δόλιες διαφημίσεις ή καταστήματα εφαρμογών τρίτων, ενώ προσπαθούν να κάνουν λήψη μιας νόμιμης εφαρμογής. Η εφαρμογή μεταμφιέζεται ως εφαρμογή συστήματος και χρησιμοποιεί ένα εικονίδιο συστήματος με το όνομα “Conpapks” για να κρυφτεί από το χρήστη.
Μετά το ξεκλείδωμα της οθόνης πραγματοποιείται εκκίνηση της εφαρμογής, η οποία συγκεντρώνει πληροφορίες σχετικά με τη συσκευή του θύματος και τις αποστέλλει στους servers του εισβολέα. Ο server επιστρέφει τις εντολές για να τις εκτελέσει η εφαρμογή. Ανάλογα με τις εντολές, η εφαρμογή μπορεί:
• Να χρησιμοποιήσει τον λογαριασμό Google ή Facebook ενός κατόχου συσκευής για να τον εγγράψει σε δημοφιλείς εφαρμογές αγορών και ψυχαγωγίας, συμπεριλαμβανομένων των AliExpress, Lazada, Zalora, Shein, JOOM, Likee και Alibaba.
• Να αφήσει κριτικές εφαρμογών στο Google Play εκ μέρους του κατόχου της συσκευής.
• Να ελέγχει τα δικαιώματα χρήσης της Υπηρεσίας Προσβασιμότητας. Εάν δεν εκχωρηθεί δικαίωμα, αποστέλλει αίτημα phishing σε αυτούς.
• Να απενεργοποιήσει το Google Play Protection, μια δυνατότητα που εκτελεί έλεγχο ασφαλείας σε εφαρμογές από το Google Play Store πριν από τη λήψη τους.
• Να ανοίξει links που λαμβάνονται από τον απομακρυσμένο server σε ένα αόρατο παράθυρο και να κρυφτεί από το μενού της εφαρμογής αφού ξεμπλοκάρει μια σειρά από οθόνες.
• Να εμφανίσει διαφημίσεις όταν ξεκλειδώνει την οθόνη της συσκευής και να δημιουργεί ετικέτες σε διαφημιζόμενες διαφημίσεις στο μενού της εφαρμογής.
• Να ανοίγει και να κατεβάζει διαφημιζόμενες εφαρμογές στο Google Play.
• Να αντικαταστήσει τις ετικέτες των εγκατεστημένων εφαρμογών με τις ετικέτες των διαφημιζόμενων σελίδων.
Για να μειώσουν τον κίνδυνο μόλυνσης από κακόβουλο λογισμικό, συνιστάται στους χρήστες να ακολουθήσουν τα παρακάτω:
• Προσέξτε τις εφαρμογές που απαιτούν τη χρήση της υπηρεσίας προσβασιμότητας αν δεν είναι στις προδιαγραφές της εφαρμογής να χρησιμοποιηθεί με αυτή τη λειτουργία.
• Ελέγχετε πάντα τα δικαιώματα εφαρμογής για να δείτε τι επιτρέπεται να κάνουν οι εγκατεστημένες εφαρμογές σας.
• Μην εγκαθιστάτε εφαρμογές από μη αξιόπιστες πηγές, ακόμα και αν διαφημίζονται ενεργά και εμποδίστε την εγκατάσταση προγραμμάτων από άγνωστες πηγές στις ρυθμίσεις του smartphone σας.
