Як хакери змусили програму Android викрасти паролі, яку завантажили 300 000 разів

Фірма з кібербезпеки ThreatFabric оглядається на масштабну кампанію зловмисних додатків, зокрема зловмисних програм, які викрадають паролі та інші особисті дані.

У звіті компанії ThreatFabric, що займається кібербезпекою, виявлено, що понад 300 000 користувачів Android встановили шкідливі програми для викрадення їхньої банківської інформації. Хоча Google видалив і вимкнув шкідливі програми, розробники використовували унікальні методи розгортання шкідливих програм для користувачів, про які всі повинні знати.

Хакери використовували кілька типів шкідливих програм.

У звіті ThreatFabric згадується лише невелика кількість таких шкідливих програм, але список включає сканери QR-кодів, сканери PDF, програми для відстеження фізичних вправ і програми для криптографії. На відміну від інших шкідливих програм, які неправдиво рекламують свою функціональність, більшість програм, які нас цікавлять сьогодні, працюють ідеально, як зазначено. Насправді все відбувалося у фоновому режимі, програми крали паролі та багато інших важливих особистих даних.

Дослідники класифікували програми на чотири основні «сімейства» відповідно до шкідливого ПЗ, яке вони використовують:

• Anatsa: найбільше з чотирьох сімейств із понад 200 000 завантажень використовувало банківський троян Anatsa. Це використовує знімки екрана спеціальних можливостей Android для викрадення імен користувачів, паролів та інших особистих даних.
• Alien: другою за кількістю завантажень сімейством програм був Alien, де встановлено понад 95 000 пристроїв. Alien перехоплює коди двофакторної аутентифікації, які потім використовують хакери для входу на банківський рахунок користувача.
• Гідра та Єрмак: Останні дві сім’ї — це сім’ї Гідра та Єрмак, пов’язані з групою кіберзлочинців Брунгільди. Група використовувала зловмисне програмне забезпечення для віддаленого доступу до пристрою користувача та отримання його банківської інформації. У звіті ThreatFabric зазначено, що Hydra та Ermac мають понад 15 000 завантажень.

Як ці родини зловмисного програмного забезпечення можуть пройти через заходи безпеки Google

ThreatFabric повідомила про ці програми в Google, яка негайно видалила їх зі свого Play Store і вимкнула на пристроях, на яких вони були встановлені. Але справжньою проблемою залишається те, як хакерам вдалося приховати зловмисне програмне забезпечення в додатках.

Зазвичай Play Store перехоплює та видаляє програми, які містять шкідливий код. Однак у випадках, які нас цікавлять сьогодні, зловмисне програмне забезпечення не було включено до початкових завантажень, а було додано через оновлення, яке користувачі повинні були встановити, щоб продовжувати використовувати програми. За допомогою цього методу розробники можуть надсилати свої програми, не запускаючи системи виявлення Google. А оскільки ці програми працювали бездоганно, як стверджували, користувачі навряд чи могли щось запідозрити. Однак було кілька ознак оновлень,

Як захистити пристрій Android від зловмисного програмного забезпечення

Є кілька речей, які ви можете зробити, якщо хочете захистити свій пристрій і уникнути встановлення на ньому такого шкідливого програмного забезпечення. Перш за все, зверніть увагу на те, які дозволи вимагає програма – не лише під час першого встановлення, а й кожного разу, коли запускаєте чи оновлюєте її. Видаліть програму та повідомте про неї, якщо вона запитує щось підозріле чи непотрібне. Наприклад, немає жодних причин, чому програма сканування QR-коду повинна мати доступ до ваших служб доступності.

Так само встановлюйте оновлення лише безпосередньо з магазину Google Play. Якщо програма каже, що їй потрібне флеш-оновлення, але воно недоступне в Play Store, оновлення може бути незаконним. Те саме стосується запитів на завантаження будь-чого за межами Play Store. Завантажувати та встановлювати програму таким чином безпечно, лише якщо ви самі завантажуєте файл APK із надійного джерела, наприклад APK Mirror або форуму XDA Dev. І не забудьте перевірити програму перед завантаженням, навіть якщо вона знаходиться в Google Play, оскільки хакери можуть підірвати легітимність програми фальшивими коментарями.

Хоча ці різні звички можуть не повністю захистити вас від потенційного зловмисного програмного забезпечення, якщо їх поєднати з іншими методами кібербезпеки, такими як одноразові паролі, безпечний зашифрований менеджер паролів, двофакторна автентифікація та програми. Безпечний захист від шкідливих програм і вірусів, ви будете добре захищені від хакерів та їхніх шкідливих програм.