Νέα αναστάτωση προκάλεσε στους χρήστες του διαδικτύου η είδηση ότι ένα κακόβουλο λογισμικό κλοπής χρημάτων εντοπίστηκε σε φαινομενικά νόμιμες εφαρμογές, οι οποίες ήταν κανονικά διαθέσιμες, μέσω της πλατφόρμας του Google Play.

Οι ειδικοί της Kaspersky ανακάλυψαν το κακόβουλο λογισμικό κλοπής χρημάτων MobOk σε εφαρμογές επεξεργασίας φωτογραφιών, που οι χρήστες εντόπιζαν και «κατέβαζαν» μέσω του Google Play store. Μάλιστα, οι εφαρμογές αυτές ήταν ιδιαίτερα δημοφιλείς, αφού, τη στιγμή που εντοπίστηκε το κακόβουλο λογισμικό και αποσύρθηκαν οι εφαρμογές, είχαν ήδη εγκατασταθεί τις 10.000 φορές.

Σύμφωνα με τις πληροφορίες που έχουν γίνει γνωστές, οι εφαρμογές ήταν σχεδιασμένες να κλέβουν προσωπικές πληροφορίες από τα θύματα και να τις χρησιμοποιούν για να τα εγγράψουν σε επί πληρωμή συνδρομητικές υπηρεσίες. Χαρακτηριστικό στοιχείο της «επιτυχίας» του κακόβουλου λογισμικού αποτελεί το γεγονός ότι τα θύματα ανακάλυψαν πως έγιναν αντικείμενα επίθεσης μόνο όταν είδαν τα αναπάντεχα κόστη στον λογαριασμό κινητής τους τηλεφωνίας.

Αξίζει να σημειωθεί ότι οι δύο επικίνδυνες εφαρμογές έχουν αφαιρεθεί από το Google Play store και δεν είναι πια διαθέσιμες.

Το κακόβουλο λογισμικό MobOk ανήκει στην κατηγόρια των backdoor, αποτελώντας ένα από τα πιο επικίνδυνα είδη κακόβουλου λογισμικού, καθώς παρέχει στον επιτιθέμενο σχεδόν τον πλήρη έλεγχο της «μολυσμένης» συσκευής. Το εν λόγω περιστατικό προκάλεσε έκπληξη, καθώς είναι γνωστό ότι το υλικό που ανεβαίνει στο Google Play έχει περάσει από διεξοδικό έλεγχο. Ωστόσο, αυτή δεν είναι η πρώτη φορά που κακόβουλο λογισμικό βρίσκει διέξοδο μέσω της διάσημης πλατφόρμας. Σε πολλές περιπτώσεις, τα backdoors καλύπτονται από μία ημι-λειτουργική εφαρμογή, η οποία με την πρώτη ματιά μοιάζει μία μέτρια, αλλά αθώα προσπάθεια για τη δημιουργία μίας νόμιμης εφαρμογής. Γι’ αυτόν τον λόγο, οι εφαρμογές Pink Camera δεν διέγειραν υποψίες, καθώς περιείχαν αυθεντικές λειτουργίες επεξεργασίας φωτογραφιών και είχαν κατέβει από το έμπιστο Google Play store.

Παρ’ όλα αυτά, μόλις οι χρήστες ξεκινούσαν να επεξεργάζονται τις φωτογραφίες τους χρησιμοποιώντας τις Pink Camera εφαρμογές, αυτές ζητούσαν πρόσβαση στις ειδοποιήσεις. Αυτό ενεργοποιούσε την κακόβουλη δραστηριότητα στο υπόβαθρο. Ο σκοπός αυτής της δραστηριότητας ήταν να εγγράψει τον χρήστη σε επί πληρωμή συνδρομητικές υπηρεσίες κινητής τηλεφωνίας. Αυτές συνήθως μοιάζουν με ιστοσελίδες που προσφέρουν μία υπηρεσία, ως αντάλλαγμα για μία καθημερινή πληρωμή, που χρεώνεται στον λογαριασμό κινητής τηλεφωνίας. Αυτό το μοντέλο πληρωμών αναπτύχθηκε αρχικά από χειριστές δικτύων κινητής τηλεφωνίας, ώστε να είναι πιο εύκολη η εγγραφή πελατών σε premium υπηρεσίες, αλλά πλέον ορισμένες φορές γίνεται αντικείμενο παράνομης χρήσης από ψηφιακούς επιτιθέμενους.

Μετά τη «μόλυνση» του χρήστη, το κακόβουλο λογισμικό MobOk άρχιζε να συλλέγει πληροφορίες, όπως ο αριθμός κινητού τηλεφώνου της συσκευής, με στόχο το λογισμικό να μπορεί να εκμεταλλευθεί αυτή την πληροφορία σε επόμενο στάδιο της επίθεσης.

Κατόπιν, το λογισμικό έστελνε λεπτομέρειες των ιστοσελίδων με επί πληρωμή συνδρομητικές υπηρεσίες στη «μολυσμένη» συσκευή και το κακόβουλο λογισμικό τις άνοιγε, συμπεριφερόμενο σαν ένας κρυφός περιηγητής. Χρησιμοποιώντας το τηλεφωνικό νούμερο που είχε αποσπαστεί νωρίτερα, το κακόβουλο λογισμικό προχωρούσε στη συνδρομή.

Στη συνέχεια και αφού είχε αποκτήσει τον πλήρη έλεγχο της συσκευής και τη δυνατότητα να ελέγξει τις ειδοποιήσεις, το κακόβουλο λογισμικό εισήγαγε τον επιβεβαιωτικό κωδικό, που λάμβανε μέσω SMS, φροντίζοντας παράλληλα ο χρήστης να μην αντιλαμβάνεται το παραμικρό. Κατά συνέπεια, το θύμα ξεκινούσε να δέχεται κόστη, έως ότου μπορέσει να βρει λύση στο πρόβλημα και διακόψει τη συνδρομή, την οποία υποτίθεται πως είχε διαπράξει.

Ο Igor Golovin, ερευνητής ασφαλείας στην Kaspersky, δήλωσε σχετικά:

«Η δυνατότητα επεξεργασίας φωτογραφιών της Pink Camera δεν ήταν ιδιαίτερα εντυπωσιακή, αλλά αυτά που μπορούσαν να κάνουν κρυφά ήταν αξιοσημείωτα: η εγγραφή ανθρώπων σε κακόβουλες υπηρεσίες κλοπής χρημάτων, η παρακολούθηση των SMS και τα αιτήματα αναγνώρισης Captcha – ο κωδικός που χρειάζεσαι να εισαγάγεις για να αποδείξεις πως δεν είσαι ρομπότ – από online υπηρεσίες. Αυτό σημαίνει πως είχαν επίσης τη δυνατότητα να κλέψουν χρήματα από τους τραπεζικούς λογαριασμούς των θυμάτων. Η θεωρία μας είναι πως οι επιτιθέμενοι πίσω από αυτές τις εφαρμογές δημιουργούσαν τόσο τις συνδρομητικές υπηρεσίες, οι οποίες δεν ήταν όλες αυθεντικές, όσο και το κακόβουλο λογισμικό που έκλεβε τους συνδρομητές, όπως επίσης το σχεδίασαν με τέτοιον τρόπο ώστε να φτάσει σε διεθνές κοινό».

Μετά τον εντοπισμό του κακόβουλου λογισμικού των δύο εφαρμογών της Google Play, η Kaspersky εξέδωσε μερικές βασικές και χρήσιμες συμβουλές – οδηγίες, απευθυνόμενες προς τους χρήστες, ώστε να είναι περισσότερο προστατευμένοι και να αποφεύγουν τις εφαρμογές που ενδέχεται να «κουβαλούν» τέτοιου είδους λογισμικό.

Σύμφωνα, λοιπόν, με τις οδηγίες αυτές, οι χρήστες θα πρέπει:

• Να θυμούνται πως ακόμη και μία αξιόπιστη πηγή, όπως ένα επίσημο app store, μπορεί να περιέχει επικίνδυνες εφαρμογές. Να είναι σε εγρήγορση και να ελέγχουν πάντα τις άδειες των εφαρμογών έτσι ώστε να είναι σίγουροι ότι οι εφαρμογές έχουν εγκαταστήσει μόνο όσα τους έχουν επιτρέψει. Να ελέγχουν τις βαθμολογίες και τις κριτικές των εφαρμογών στα επίσημα stores, όπως το Google Play ή το App Store. Οι κακόβουλες εφαρμογές θα λαμβάνουν χαμηλές κριτικές ορισμένες φορές και οι χρήστες θα δημοσιεύουν σχόλια που προειδοποιούν άλλους για το ρίσκο κακόβουλου λογισμικού. Αν πρόκειται να εγκαταστήσουν τέτοιου είδους εφαρμογή, πρέπειν να δίνουν επιπλέον προσοχή στα αιτήματα αδειών της.

• Να εγκαθιστούν τις αναβαθμίσεις των συστημάτων και των εφαρμογών μόλις είναι διαθέσιμες – καλύπτουν αδυναμίες και προστατεύουν τις συσκευές.

• Να χρησιμοποιούν μία αξιόπιστη λύση ασφαλείας για συνολική προστασία από ένα ευρύ φάσμα απειλών, όπως το Kaspersky Security Cloud.