Google Play

Злонамерено приложение за смартфон в Apple App Store, имитиращо името и визията на популярните хардуерни портфейли Trezor, е откраднало наведнъж цялата наличност от 17,1 биткойна (600 хил. USD) на нищо неподозиращ потребител.

Phillipe Christodoulou е съхранявал своите биткойни в хардуерен портфейл на Trezor. За да провери салдото си е изтеглил от iOS App Store приложение с висок потребителски рейтинг (почти пет звезди), представящо се, че е на Trezor.

След като потребителят е въвел името и паролата си за достъп във фалшивото приложение, цялата налична криптовалута в портфейла му е изчезнала моментално.

Не разкривайте на никого тайната фраза на крипто портфейла ви

Софтуерът на крипто портфейлите генерира уникална фраза (seed phrase), която да използвате при нужда да възстановите портфейла ви (например ако устройството ви се повреди).

Измамниците използват фишинг техника, за да убедят потребителите на хардуерни портфейли да въведат фразата си за възстановяване във фалшивото мобилно приложение. И… портфейлът вече е техен!

Фалшиви приложения избягват проверките на Apple

Apple рекламира магазина си като изключително надежден, защото всички приложения преминават през строг процес на верификация.

В конкретния случай, фалшивото приложение на Trezor първоначално е било представено като решение за криптиране на iPhone файлове и съхранение на пароли. След преминаване на верификацията на Apple, злонамерените разработчици са го променили в приложение за крипто портфейл. То е било достъпно в App Store поне между 22 януари и 3 февруари 2021 г. и е било изтеглено около хиляда пъти.

В действителност, към момента Trezor не поддържа мобилната операционна система iOS на Apple и няма мобилно приложение.

През 2020 г. Apple е премахнала 6500 приложения, поради наличието на скрити и недокументирани функции, предимно по сигнали на потребители.

Измамата е „налична“ и в Google Play Store

Осем злонамерени приложения на Trezor за Android са засечени и в Google Play Store.

Warning to all Trezor owners using Android devices!

This app is malicious and has no relation to Trezor or SatoshiLabs. Please, don't install it.

Remember that you should never share your seed with anyone until your Trezor device asks you to do it! pic.twitter.com/6C3iKfPDnR

— Trezor (@Trezor) January 18, 2021

 

Google се изправя пред все по-сериозен проблем с гарантирането на сигурността на потребителите на Andoird и по-специално: премахването на зловредни приложения от Google Play.

По данни на анализаторите от Upstream броят на засечените зловредни приложения се е удвоил за първото тримесечие на 2020 г. спрямо същия период на миналата година и в момента има поне 98 хил, за които е известно, че са опасни. А измамните трансакции през тях са скочили с 55%.

Поредната порция лоши новини по темата дойде от други анализатори – White Ops Threat, публикуван на 9 юни. Те разкриха схема от 38 измамни приложения за обработване на снимки, които се използват за генериране на автоматизирани посещения на конкретни уебсайтове без никакви кликвания от страна на потребителя.

Фалшив трафик, истински пари

С подобни техники се генерира фалшив трафик към сайтове и фалшиви кликове върху реклами, с които в последствие рекламодателят плаща, а авторът на приложението получава процент от заплатеното. Т.е. схемата е: фалшиви кликове -> фалшив трафик -> истински приходи от иначе легитимна услуга, каквато е рекламата.

В случая, тези 38 приложения са били свалени от над 20 млн. души. Разбира се, те вече са премахнати, но измамниците не са притеснени от това. Защото подобно противодействие е очаквано.

Схемата им се състои в това те да публикуват непрекъснато нови приложения (средно на всеки 11 дни). Въпреки сравнително краткия си престой в магазина, обичайният брой инсталации за всяко подобно приложение е над 500 хил.

Предполага се, че с подобна активност измамниците целят да определят точно какви критерии използва Play Store като основание за премахване на по-ранните им приложения.

Какво да правите

Препоръките са обичайните: Изтрийте вече инсталираните подозрителни приложения. Преди това, внимавайте какво изтегляте. Проверете отзивите. Ако видите оплаквания относно обема на рекламите, НЕ инсталирайте това приложение.

За по-високо ниво на защита, адресите на онлайн портфейлите с криптовалути се състоят от дълги стрингове букви, числа и специални символи. Затова, вместо да ги изписват на ръка, потребителите обикновено копират и поставят адресите през клипборда на устройствата, с които работят.

Именно на този поведенчески модел разчита и новото поколение зловредни кодове, наречено „clipper“ (клипъри). Те следят съдържанието на клипборда на заразените устройства и заменят определени поредици стрингове с такива, заложени от създателите на кодовете. Така, в случай, че потребителят иска да осъществи легитимна трансакция с криптовалута, може да се окаже, че копираният адрес на портфейл е този на създателя на вируса.

С други думи, клиперите подменят адреса на портфейла от този на истинския получател на трансакция с този на създателите на вируса.

Такъв тип вируси не са новост за Windows – Първите зловредни кодове от този тип за платформата датират от 2017 г., а през 2018 г. вече се засичат и за Android. През февруари 2019 г., обаче, клипърите вече са пробили път и могат да бъдат открити в Google Play, официалния магазин за Android приложения. Разкритието е дело на ESET и е засичано от приложенията на компанията с името Android/Clipper.C.

Копирай и кради

Зловредният код е маскиран под формата на дубликат на легитимната услуга MetaMask. Основната му цел е да открадне идентификационните данни на потребителя и частните му ключове, за да присвои контрол върху Etherium портфейла му. Освен това, той заменя и легитимни адреси на Bitcoin или Ethereum портфейли, копирани в клипборда, с тези на създателите на зловредния код.

ESET разкриват Android/Clipper.C малко след дебюта му в Google Play на 1 февруари. След контакт с екипа за сигурност на Google Play, приложението вече е премахнато.

АТаката е насочена срещу потребителите на услугата MetaMask service, която е създадена с идеята да стартира децентрализирани Etherium приложения в браузъра, без да се налага стартирането на пълна Eherium инстанция. Уловката в случая е, че услугата няма мобилно приложение – само допълнения за десктоп версиите на браузъри като Chrome и Firefox.

Това не е и първият път, в който MetaMask е жертва на опит за копиране. До момента обаче, името на компанията е използвано предимно с фишинг цели – и опит за кражба на потребителски имена и пароли, чрез които да бъде откраднат достъпа до портфейлите на жертвите.

Как да се защитите:

• Ъпдейтвайте Android устройствата си и използвайте ефективно решение за антивирусна защита за Android
• Сваляйте приложения само от Google Play – но винаги имайте едно на ум, защото, видимо и неговата защита може да бъде преодолявана
• Винаги проверявайте официалните сайтове на приложенията, които сваляте, и услугите, които стоят зад тях – защото, видимо, и легитимните приложения могат да станат жертва на копиране
• Проверявайте всяка стъпка във всяка трансакция, в която е замесено нещо ценно за вас. Като използвате клипборда, винаги сравнявайте дали поставения текст е същия като копирания от вас

 

В днешни дни бляскавият екран, който държите може да ви даде много повече от кратки разговори и съобщения. Имайки това предвид, компанията Epic Games реши да направи хитовата си игра „Fortnite” достъпна за мобилни платформи. Уловката, обаче, се крие в това, че компанията няма да предоставя играта чрез Google Play, а като отделен .apk (инсталационен) файл. Потребителите трябва да го изтеглят и инсталират собственоръчно.

Ако не можете да видите как това може да ви навреди, то ето един пример: вече има стотици YouTube видеа на тема „Как да инсталираме Fortnite”. Голяма част от тях (ще) съдържат линкове към фалшиви и инфектирани .apk файлове. Което може да доведе до гигантска по размерите си скам атака – и масово източване на данни и монетизация на реклами от огромната потребителска база на играта (съставена предимно от деца).

Вижте още: Защо да внимавате какво сваляте: Google е спряла над 700,000 заразени приложения за Android

Първите примери за подобни измами бяха забелязани месеци преди да бъде обявена мобилната версия на играта. Лукас Стефанко от ESET, сподели в Twitter за нарастващият брой фалшиви видеа и приложения още през юни:

Millions of views on YouTube for fake „How to install Fortnite on Android“ videos including links to actual APK files.
Don’t install #Fortnite for Android, it’s all fake or malicious! Official app is not released yet.
They mostly generate revenue for developers. pic.twitter.com/xpDcqbs3G2

— Lukas Stefanko (@LukasStefanko) June 12, 2018

В момента е лесно да се разпознаят, тъй като официалната мобилна версия все още е в разработка и не се предлага за потребителите. Веднъж, щом тя бъде пусната, няма да има очевиден начин за потребителите да различат фалшиво от истинско приложение преди да е вече късно.

Във ваш интерес, както и в този на децата и близките ви е да се подготвите още отсега. За това може да ви послужи решение за антивирусна защита за Android, което може да разпознава потенциално зловредни приложения и да ги блокира.

Най-добре за вас и устройствата ви е да не позволявате инсталация на приложения от недоверени източници. Ако все пак искате да се срещнете на бойното поле с приятелите си във Fortnite, направете го внимателно като следвате официалните инструкции на сайта на играта.

Ако сте системен администратор: посъветвайте колегите си да не инсталират съмнителни .apk файлове – или ги улеснете (и себе си) като изпратите проверен линк към подобен туториъл на родителите, чийто деца са фенове на играта. Те ще са ви благодарни.

Последен ъпдейт на 28 юни 2018 в 11:45 ч.

Разработчици в платформата се опитват да убедят потребителите в популярността на приложението си като наподобяват легитимната статистика, но я показват на грешните места (и комично преувеличено).

Повечето опити са лесно забележими, дори и от неопитни хора, но напоследък разработчиците намират все по-очевидни и все пак-ефективни способи да залъжат потребителите.

Например – докато търсите приложение виждате следното представяне на едно легитимно такова:

То винаги следва структурата – иконка и име и под него – автор. В случая, Termux от Fredrik Fornwall не би трябвало да говори нищо на човек, който не използва терминални емулатори под Андроид. Но хората, които имат нужда от подобно приложение ще видят следните признаци за доверие:

• Висок рейтинг, но от близо 13 000 мнения
• Класиране в първите места от резултатите на търсенето

В другия ъгъл стои нещо коренно различно:

Всеки с малко опит в работата с Андроид би усетил, че това е приложение, което е нескопосано сглобено и в добрите случаи има за цел нищо повече от показване на реклами.

От друга страна, човек, който е нов към платформата или дигиталния свят може да се залъже заради авторското име – софтуерният разработчик е избрал името „Installs 1,000,000,000“. За незапознат потребител, това би изглеждало като нищо по-малко от милиард инсталации, а самият Google Play Store едва може да се похвали с подобна статистика. Някои автори на приложения съвсем безочливо прескачат границата на възможното и избират имена като „5,000,000,000+“.

Само за сравнение – в Play Store има 15 приложения с над милиард сваляния – три от тях са приложения на Facebook и останалите са част от фабрично инсталираните приложения на Google.

Друг, по-интелигентен пример за привличане на хора, които не познават платформата (или такива, които не проявяват наблюдателност) е включването на различни символи, които могат да служат като знак за доверие. Това са

• Символи като ™ и ®
• Тикове/check marks
• Визуални добавки към иконката като етикети с “New” или етикети, които изглеждат като някакъв тип верификация от Play Store

Усилията на Google да подобрят качеството на еко системата си от приложения продължават и голяма част от приложенията, залагащи на описаните дотук тактики са вече свалени. Преди това, от платформата бяха премахнати над половин милион приложения, определени като вредни или неподходящи за нея.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.