Adattolvajok a Google Play áruházban
2017. március 29.
Az ESET szakemberei nemrégiben több olyan alkalmazást találtak és vizsgáltak meg a Google Play áruházban, amelyek különféle módszerekkel próbálják megtéveszteni a felhasználókat. Egyes alkalmazások az Instagram fiókunk belépési adatait próbálják megszerezni, mások pedig agresszív hirdetésekkel csalnak ki magasabb értékeléseket a felhasználótól.
Az ESET kutatói nemrégiben 13 új, adatlopási céllal készített alkalmazást fedeztek fel a Google Play áruházban, amelyek kifejezetten az Instagram felhasználók belépési adatainak megszerzésére készültek. Az Instagram közönsége már eddig is számos adattolvaj alkalmazás célkeresztjébe került, amelyek a Google Play áruházon keresztül igyekeztek a követők számát nagy arányban felduzzasztani, vagy egyszerűen bejutni felhasználók fiókjaiba. Az ESET figyelmeztetése után mind a 13 alkalmazást eltávolították Google Play áruházból, ám addigra összesen 1,5 millió felhasználó töltötte le őket.
Hogyan működik?
Az Android/Spy.Inazigram kártevőt tartalmazó alkalmazások ugyanazon az elven működtek: egy távoli szerverre továbbították a hamis alkalmazások révén megszerzett Instagram adatokat. Hogy növeljék a letöltések számát, azzal az ígérettel tették vonzóbbá az alkalmazásokat az Instagram felhasználók számára, hogy követőik száma nagymértékben növekedni fog, a lájkok és hozzászólások számával együtt. Később ezeket a fiókokat más felhasználók követőtáborának növelésére is felhasználták.
Az adattolvaj alkalmazások egyike, az „Instagram Followers” például egy az eredetihez egészen hasonló belépőablakot használt. Miután a felhasználó bejelentkezett, nem tudott belépni a fiókjába, hanem egy „Helytelen jelszó” üzenetbe ütközött.
Mi történik az ellopott Instagram fiókadatokkal?
Az ellopott fiókok révén kéretlen üzeneteket (spam) és hirdetéseket küldhetnek a nevünkben, illetve egyéb üzleti célokra is felhasználhatják az Instagram oldalunkat – több helyen kínálnak illegális Instagram követőtábor növelést ígérő csomagokat, amelyek legértékesebb részei a követők mellett a lájkok és a hozzászólások lehetősége.
A fenti alkalmazások letöltése után, annak ikonja megjelenik az installált alkalmazásaink között, valamint az Instagram is figyelmeztetést küld arról, hogy valaki megpróbált belépni a fiókunkba. Ezután azt tapasztalhatjuk, hogy jelentősen megugrott a követőink száma, vagy válaszüzeneteket kaphatunk olyan kommentekre, amiket nem is mi írtunk.
Hogyan védekezzünk?
A készülékünk védelme érdekében töröljük a fent említett programot az Alkalmazáskezelőben, vagy használjunk megbízható mobilvédelmi megoldást a veszélyes elemek eltávolítására. Az Instagram fiókunk biztonságának érdekében azonnal változtassuk meg jelszavunkat! Amennyiben ugyanazt a jelszót több platformon használjuk, azokat is cseréljük le, mivel a kártékony alkalmazások készítői rendszerint megpróbálnak bejutni más webhelyekre is ugyanazon belépési adatokkal, ezért javasolt különböző jelszavakat használni különböző fiókjainkhoz.
Hogy megelőzzük közösségi fiókjaink feltörését, mielőtt letöltenénk egy Google Play alkalmazást:
- nézzük meg, mennyire népszerű az alkalmazás a letöltések száma, az értékelések és legfőképp a vélemények alapján.
- ha kétségeink támadnak, válasszunk Top Developer jelzésű programot, vagy a különböző megbízható médiumok szerkesztői ajánlásai alapján töltsünk le alkalmazásokat.
Hirdetésmegjelenítő alkalmazások
Mielőtt azonban megnyugodnánk, hogy az alkalmazások értékeléseire támaszkodva elkerülhetjük a hasonló támadásokat, még mindig beleeshetünk egy másik trükkös alkalmazásfajta csapdájába. Szintén a Google Play áruházon keresztül támad néhány megtévesztő alkalmazás, amelyek tolakodó hirdetések megjelenítésével kényszerítik a felhasználókat, hogy magas értékelést adjanak, ezzel feltornázva a népszerűségi mutatóikat az áruházban. Az ESET kimutatásai szerint az ilyen hirdető applikációk összesen mintegy 800 000 telepítést generáltak ezidáig.
Az ESET által detektált Android/Hiddad.BZ nevű trójai hirdetőprogramot rejtő alkalmazásokat már több mint 5000 felhasználó töltötte le, hogy YouTube tartalmakat érhessen el. Az alkalmazások a jól ismert módszerrel – hirdetések folyamatos, agresszív megjelenítésével – kértek 5 csillagos értékelést, azzal a hamis ígérettel, hogy utána eltávolítják a hirdetéseket.
Szintén agresszívan támadta az androidos vásárlókat a Subway Sonic Surf Jump hamis játékalkalmazás, amely megközelítőleg 500 000 felhasználót tévesztett meg. Az alkalmazás folyamatosan hirdetéseket jelenített meg, amíg 5 csillagos értékelést nem adtunk neki, annak hamis reményében, hogy azután letölthetjük a játékot. A Google Play áruházból való eltávolítás előtt az alkalmazás 4.1-es átlagértékelést tudhatott magáénak, de az 5-ös csillagok magas aránya és a kényszerítés miatt panaszkodó vélemények már meglehetősen ellentmondásossá teszik a képet. Hasonló elv alapján működtek az Anime Wallpapers HD és a Latest online movies alkalmazások is, amelyeket a szintén töröltek már a Google Play áruházból.
Az alkalmazásokban használt Android/Hiddad.BZ trójai vírusból 7 verziót is találtak az ESET kutatói, amelyek hasonló elv alapján működtek: mindegyik alkalmazás “Music Mania” néven jelenik meg a programok között, majd az ikonra kattintva betöltődik a hirdetést megjelenítő komponens (ad-displaying component). Ez önmagában egy csaló rendszerüzenet, ami „android plugin” címszó alatt kér engedélyt a telepítésre és mindaddig eltakarja a képernyőt, amíg nem járulunk hozzá az installáláshoz. A hirdetésmegjelenítő (ad-displaying payload) telepítése után a hamis plugin adminisztrátori jogosultságot kér eszközünkhöz egy újabb olyan felugró ablakban, amiből nem tudunk visszalépni. Az admin jogok megosztása után a képernyőnket hirdetések lepik el, amelyek 5 csillagos értékelésre kérnek minket azok eltávolításához. Az üzenetek törlése egy még nagyobb hirdetés lavinát indíthat el tovább provokálva a felhasználót az értékelésre. A kártékony alkalmazást február 27-én jelentette az ESET, amelyet fokozatosan vissza is vontak az áruházból.
Hogyan tisztíthatjuk meg a hirdető vírussal fertőzött készülékünket?
Az Alkalmazáskezelőnkben az eredeti alkalmazás (“Music Mania”) törlése nem elegendő az eltávolításhoz, a fertőző bővítményt is kell távolítani. Ahhoz, hogy az Android/Hiddad.BZ-t teljes egészében eltávolítsuk az eszközről, le kell tiltanunk annak eszközadminisztrátori jogait (Beállítások -> Biztonság -> Eszközadminisztrátorok -> Engedélyezés szükséges). Ezután eltávolíthatjuk a plugin android-ot (Beállítások -> Alkalmazáskezelő -> plugin android).
Hogyan maradjunk biztonságban?
A Google Play értékelési rendszerét manipuláló, illetve a felhasználókat megtévesztő alkalmazások kapcsán feltehetnénk a kérdést: mit ér, ha letöltés előtt megnézzük az alkalmazás értékeléseit? Ez továbbra is fontos, azonban az értékelésen túl érdemes átfutni a felhasználói véleményeket is, hogy valós képet kapjunk arról, hogy mit kínál számunkra az adott alkalmazás. A felhasználók rendszerint kifejezetten őszintén fogalmaznak, még ha ez sokszor azt is jelenti, hogy panaszáradattal találkozunk, mert magas értékelésre kényszerítette őket egy agresszív alkalmazás.
A mobilos kártevőről és a megelőzésről az ESET weboldalán tájékozódhat.
Kapcsolódó cikkek
- Újabb fertőzött alkalmazások a Google Play áruházban
- Az ESET két új biztonsági megoldása vállalati felhasználók számára
- Új megoldásokkal bővíti vállalati portfólióját az ESET
- Kellemes női hangon beszélő zsarolóvírus csal ki pénzt Android felhasználóktól
- Az ESET macOS rendszereket támadó zsarolóvírusra figyelmeztet
- MacOS rendszereket támadó zsarolóvírusra figyelmeztet az ESET
- Hamis időjárási alkalmazásokba rejtett trójai programot fedezett fel ez ESET
- Havi vírusriport - Tízből kilenc trójai, maradhat?
- Flash Player frissítésnek álcázott androidos trójai programot fedeztek fel az ESET szakemberei
- Újra akcióban a Conficker féreg