Nech sa Google snaží ako chce, občas do jeho ekosystému prenikne nejaký ten škodlivý softvér. Dobrou správou je, že zvyčajne spoločnosť v takýchto prípadoch reaguje promptne a efektívne. Stále je tu však časová medzera, počas ktorej dokáže softvér uškodiť niektorým používateľom. Po novom do systému Android prenikla ďalšia hrozba, a to trójsky kôň. Konkrétne sa má šíriť cez 5 aplikácií, informuje server BleepingComputer.
Tento trojan nesie názov Anatsa a zameriava sa predovšetkým na používateľov OS Android v Európe. Jednotlivé zariadenia sa snaží infikovať prostredníctvom tzv. dropperov nachádzajúcich sa v aplikáciách v obchode Google Play.
Bezpečnostní odborníci z ThreatFabric za posledné štyri mesiace zaznamenali hneď päť kampaní, ktoré sa snažili pretlačiť škodlivý softvér do zariadení používateľov v Nemecku, Španielsku, Slovinsku, Českej republike a na Slovensku. Počet úspešných útokov je hrozivý – infikovať sa malo až 150 000 zariadení.
Zameriavajú sa na konkrétne regióny
Každá vlna útokov sa zameriava na konkrétne geografické regióny, pričom tá posledná vyšla akurát aj na Slovensko. Droppery, čiže aplikácie šíriace nebezpečný softvér, sú navrhnuté tak, aby mali vysokú šancu dostať sa do kategórie najlepších aplikácií zadarmo v obchode Google Play. Tým si získavajú dôveryhodnosť, čo zvyšuje šancu na úspešný útok.
Správa od ThreatFabric uvádza, že aplikácie sú navrhnuté aj takým spôsobom, aby dokázali obchádzať viacstupňové procesy verifikácie a bezpečnostné systémy v OS Android, a to až po verziou Android 13.
V súvislosti s evidentnou hrozbou odborníci varujú na celkovo päť aplikácií, prostredníctvom ktorých sa má trojan šíriť. Sú nimi:
- Phone Cleaner – File Explorer (viac ako 10 000 stiahnutí)
- PDF Reader: File Manager (viac ako 100 000 stiahnutí)
- PDF Viewer – File Explorer
- PDF Reader – Viewer & Editor
- Phone Cleaner: File Explorer
Dobrou správou je, že Google rýchlo zareagoval a odstránil všetky inkriminované aplikácie. Dlhšie mu však trvalo vymazať aplikáciu PDF Reader: File Manager. V čase písania tohto článku už by nemal byť k dispozícii ani jeden zo známych dropperov.
Vyššie sme spomenuli, že trojan dokázal infikovať až 150 000 zariadení. Je nutné podotknúť, že ide o optimistický odhad, pričom podľa odborníkov sa môže skutočný počet úspešných útokov šplhať na 200 000.
Taktiež je dôležité poznamenať, že dropperové aplikácie sa môžu v obchode objavovať opakovane. Ich odstránenie teda ešte neznamená 100-percentnú bezpečnosť. Ako už bolo spomenuté, tento trojan sa šíri v niekoľkých vlnách podľa geografických regiónov. Žiaľ, očakáva sa, že počet úspešných útokov bude aj naďalej stúpať – už teraz prekročil hranicu 130 000 infikovaných zariadení, ktoré sa trojanu podarilo dosiahnuť v prvej polovici minulého roku.
Ak nešťastnou náhodou natrafíte na jednu z uvedených aplikácií, bez výnimiek sa jej vyvarujte.
Trójsky kôň: Ako to robia?
Pokiaľ ide o technické detaily, dopper aplikácie majú využívať viacstupňový prístup, aby sa vyhli detekcii zo strany bezpečnostných systémov, pričom dynamicky sťahujú škodlivé komponenty priamo z príkazového a riadiaceho servera.
Smutným faktom je, že pre účely šírenia býva zneužívaná aj služba Accessibility Service, ktorá primárne slúži na pomoc používateľom trpiacim zdravotným postihnutím. Malvéry, ktorý zneužívajú túto službu, sa objavujú celkom často, a to aj napriek tomu, že Google zaviedol prísne obmedzenia, aby bolo je zneužitie oveľa komplikovanejšie, ideálne nemožné.
Droppery obsahujúce trojan si dokázali vydobyť prístup k Accessibility Service tým, že sa maskovali potrebou „uspávania aplikácií vyčerpávajúcich batériu“, čo sa konkrétne v kontexte aplikácie určenej na čistenie súborov javí ako legitímna funkcia.
Pozor na detaily
Žiaľ, hoci popredné technologické firmy neustále zlepšujú a zefektívňujú svoje bezpečnostné systémy, pokroky robia aj útočníci, ktorých aktivity je čoraz ťažšie odhaliť. Preto dávajte veľký pozor na všetko, čo sťahujete, hoc aj keď sa pohybujete v oficiálnom obchode s aplikáciami.
V prípade, že natrafíte na pozoruhodnú aplikáciu, odporúčame vám dbať na všetky drobné detaily. Podvodné aplikácie často mávajú podivné popisy s gramatickými chybami, prípadne nezrozumiteľne formulovanými vetami. Indikátorom podvodu potom môžu byť aj recenzie. Ak v nich natrafíte na používateľov so skutočnými menami, ktorí varujú, aby si danú aplikáciu nikto nesťahoval, máte jasno. Alternatívne môže byť náznakom podvodu veľký počet pozitívnych hodnotení od účtov, ktorých názvy sú spleťou náhodných znakov a čísel.