Facebookis liikuv andmeid varastav pahavara leiti Google Play poest

Androidi kasutajad on jälle ohus: Google Plays olevad allalaadijad levitavad pahavara, mis varastab Facebooki paroole

Google Play poest leiti uus Android viiruse versioon. Viirus kasutab sotsiaalse õngitsemise meetodit, et meelitada inimesi laadima alla pahavaralisi äppe. Pahavara võtab sihikule inglisekeelsed ja vietnamikeelsed kasutajad ning loodab varastada nende Facebooki paroolid.

Turvafirma Avast tuvastas mitu allalaadijat, mis teesklesid end olevat meelelahutus- ja elustiiliäpid nagu helisalvestajad või malemängud. Pärast installeerimist algatasid need äpid mitmete pahavaraliste äppide allalaadimist, mis hakkasid läbi viima erinevaid pahavaralisi toiminguid.

Õnneks eemaldati need rakendused Google Play poest ja tarkvaraarendaja kontod blokeeriti. Pole aga teada, kui paljud inimesed said kannatada selle Androidi pahavara tõttu. Uurijad khtlustavad, et see Androidi pahavara on pärit Vietnamist, kuna pahavaralised rakendused kasutasid selle regiooni populaarsete rakenduste nimesid.

Pahavaralised rakendused paluvad admin-õiguseid

Pahavaralised äpid suutsid läbi tungida Google turvakihist, kuna poodi üles laaditud allalaadijad ei sisaldanud pahavaralisi funktsioone. Need olid loodud nii, et need laadiksid pahavaralisi komponente ja teeksid ebaseaduslikke tegevusi pärast seda, kui need laaditi Android nutitelefoni.

Kõige kahtlasem on selliste rakenduste juures faktor, et need nõuavad admin-õiguseid. Kui kasutaja ei anna õiguseid, hakkab äpp näitama võltse Google Play teenindustõrke teateid. Kriminaalid disainisid legitiimsena näiva teavitusakna, mida näidatakse kasutajale kohe, kui too üritab mõnda rakendust avada. Teavituses on kirjas järgnev tekst:

Service error!
Google Play services has been
disabled by the system or a
third party.
Please enable to avoid unwanted
bugs!

Vajutades “Activate” nupule hüpikaknas, palutakse kasutajal aktiveerida seadme administraator ehk teisisõnu palub pahavaraline rakendus täielikku kasutusõigust seadmes. Tõrketeavitused äppide avamisel on väga tüütud. Seepärast pole mingit kahtlust, et varem või hiljem annab kasutaja pahavarale seda, mida see soovib.

Android pahavara varastab asukohaandmed ja Facebooki andmed

Kui Android viirus nakatab seadme, annab see pahavara kontrollserverisse teada edukalt sooritatud ülesandest. Seejärel saadetakse seadme ID, asukoht (IP-aadress), keel, mobiilioperaator ja muud andmed.

Sellele lisaks teeb pahavaraline rakendus ka nö klikipettust. Avasti uurimistöö näitas, et rakendustes on ka paar reklaamplatvormi. Need mitte üksnes ei näita reklaame ja videoreklaame, vaid meelitavad kasutajat klõpsama või klõpsavad reklaamidel ise kasutaja eest.

Kõige olulisem ülesanne on aga Facebooki andmete varastamine. Pahavara jätkab Google Play tõrketeate näitamist ning annab teada, et Facebooki kontoga on midagi valesti, seejärel palutakse uuesti sisse logida. Nii annab kasutaja kurjategijatele oma kasutajatunnuse ja parooli, ilma sellest teadmatagi.

Kriminaalid ei kasuta võltsi Facebooki lehte. Ohvrid näevad reaalset Facebooki sisselogimislehte. Ohvrid lähevad aga lehele pahavaralise rakenduse kaudu, mis sisestab JavaScript koodi reaalsele lehele. See tähendab, et nii pea, kui kasutaja sisestab oma andmed, saab ohtlik rakendus need andmed kätte.

Facebooki kontosid müüakse ja kasutatakse reklaamieesmärkidel

Mis saab siis, kui kurjategijad saavad su kontole ligipääsu? Nad võivad lisada sõpru, kommenteerida, laikida või jagada sisu ning teha muid tavapäraseid tegevusi. Selle tegevuse eesmärk on konto müümine ettevõtetele, kes tahavad rohkem jagamisi saada või suurendada müüginumbreid.

Nakatunud kontod, mis kuuluvad reaalsetele inimestele, on turul väärtuslikud, kuna neid ei sildistada sotsiaalvõrgustiku poolt võltsideks ning neid ei peatata. Kui sind ründas see Android pahavara, peaksid sa koheselt muutma kõik oma paroolid (mitte ainult Facebooki) nii pea, kui oled selle pahavara oma nutitelefonist eemaldanud.

Autori kohta
Jake Doevan
Jake Doevan - Elu on liiga lühike, et raisata seda viirustega võitlemisele

Võta ühendust autoriga Jake Doevan
Ettevõtte Esolutions kohta lähemalt

Loe teistes keeltes
Failid
Tarkvara
Võrdle