- Höyry onnistui tunkeutumaan Google Pelaa yli 300 pelaajalla sovellukset ja 60 miljoonaa descargas
- Nämä sovellukset jäivät aluksi huomaamatta, mutta sitten ne saivat haitallisia ominaisuuksia ja näyttivät koko näytön mainoksia tai varastivat tunnistetiedot.
- Huijauksen hienostuneisuus ja itsepintaisuus ovat johtaneet siihen, että edes Google Play Protect ei aina pysty havaitsemaan niitä.
Laitteet Android on tullut kyberrikollisten ensisijainen kohde, ja harvat esimerkit ovat osoittaneet tämän yhtä selvästi kuin pysäyttämätön Vapor-haittasovelluskampanja. Kuukausien ajan tuhannet käyttäjät luottivat näennäisesti laillisiin sovelluksiin, jotka oli ladattu yritykseltä itseltään. Google Play Store, tietämättöminä siitä, että he piilivät yhdessä viime aikojen kehittyneimmistä ja menestyneimmistä uhkista.
Tässä artikkelissa analysoimme perusteellisesti, mitä perheeseen kuuluu haittaohjelmat Vapor, miten se onnistui hiipimään viralliseen Android-kauppaan, mitä harhautus- ja väistömenetelmiä sen oli käytettävä, mitä riskejä se aiheutti käyttäjille ja ennen kaikkea, miten voit havaita ja suojautua tällaisilta sovelluksilta. Jos omistat tai olet joskus omistanut Android-puhelimen, tämä on pakollinen luettava yksityisyytesi ja lompakkosi suojaamiseksi.
Höyryn nousu: Kampanja, joka huijasi miljoonia
Vuoden 2024 alussa tietoturva-asiantuntijat havaitsivat ennennäkemättömän haittaohjelmakampanjan nimeltä "Vapor", joka onnistui tunkeutumaan Google Play Kauppaan ja saavutti hämmästyttäviä latausmääriä. IAS Threat Labin ja Bitdefenderin kaltaisten laboratorioiden raporttien mukaan alun perin tunnistettiin 180 poistettua sovellusta, ja luku nousi pian 331 poistettuun sovellukseen, vaikka todellinen luku voi olla vielä suurempi.
Näitä sovelluksia ladattiin yhteensä yli 60 miljoonaa kertaa., mikä tarkoittaa, että mahdollisesti vaarantuneiden laitteiden määrä on valtava. Eniten tartunnat koskivat Brasiliaa, Yhdysvaltoja, Meksikoa, Turkkia ja Etelä-Koreaa, vaikka kukaan Android-käyttäjä ei ollut täysin turvassa sovellusten ollessa aktiivisia Googlen kaupassa.
Hälyttävää Vaporissa on se, että sen luojat onnistuivat kiertämään Google Playn turvamekanismit yksinkertaisen ja tehokkaan strategian ansiosta.Julkaisun jälkeen sovellukset suorittivat täsmälleen luvatut toiminnot (päiväkirjat, terveyssovellukset, QR-skannerit, optimoijat jne.) ilman näkyviä jälkiä haittaohjelmista. Asennuksen jälkeen he kuitenkin saivat päivityksiä etäpalvelimilta (C2 eli Command & Control), jotka latasivat haitallisen koodin ja aktivoivat sen täyden vahingollisen potentiaalin, ja käyttäjä luotti nyt sovellukseen.
Asiaa pahensi se, että kehittäjät käyttivät useita Google Play -tilejä ja julkaisivat vain kourallisen sovelluksia tiliä kohden hajauttaakseen riskiä ja vaikeuttaakseen massapoistoa. Lisäksi jokainen sovellus voisi käyttää eri mainos-SDK:ta, jolloin vältytään haittaohjelmien torjuntajärjestelmien helposti havaitsemilta kaavoilta.
Eniten ladatut 'Vapor'-sovellukset
Vaarantuneista sovelluksista useita erottuu joukosta, ja ne saavuttivat yli miljoona latausta, ja kaikki ne vaikuttavat täysin vaarattomilta. Joitakin suosituimpia olivat:
- AquaTracker – 1 miljoona latausta
- Napsauta Tallenna Downloader – 1 miljoona latausta
- Scan Hawk – 1 miljoona latausta
- Veden ajan seuranta – 1 miljoona latausta
- Ole enemmän – 1 miljoona latausta
- BeatWatch – 500.000 XNUMX latausta
- TranslateScan – 100.000 XNUMX latausta
- Luurin paikannin / Puhelimen paikannin – 50.000 XNUMX latausta
Kategorioiden monimuotoisuus on avainasemassa Vaporin strategiassa: terveys- ja kuntoilusovellukset, päiväkirjat ja nuottihallintaohjelmat, rumputyökalut ja jopa apuohjelmat, kuten QR-koodiskannerit tai paikantimet. Kaikki ne täyttivät ainakin aluksi mainostamansa toiminnallisuuslupauksen, mikä kannusti positiivisiin arvosteluihin ja massiivisiin latauksiin ilman epäilyksiä.
Petosmenetelmät: Kuinka höyrysovellukset voittivat tietoturvaesteet
Vaporin menestys ei ole pelkästään sen massalevitys, vaan myös sen hienostuneisuus Googlen ja käyttäjien omien turvakontrollien ohittamisessa. Yksi nerokkaimmista mekanismeista oli käyttää AndroidManifest.xml-tiedostoa niin kutsutun käynnistysohjelman toiminnan poistamiseen käytöstä. Launcher Activity on päänäyttö, joka käynnistyy, kun napautat sovelluskuvaketta.
Miksi tämä on niin vaarallista? Pohjimmiltaan siksi, että kun sovellus on asennettu ja käynnistetty ensimmäistä kertaa, sen kuvake voi katoaa kokonaan Käynnistä-valikosta., jääden täysin huomaamatta. Käyttäjälle näyttää siltä kuin sitä ei olisi koskaan ollutkaan, vaikka se toimii edelleen taustalla. Joskus ne jopa nimettiin järjestelmäasetuksissa uudelleen neutraaleiksi nimiksi, kuten "Google Voice", mikä teki niistä entistä vaikeampia havaita.
Lisäksi Vapor-sovellukset käyttävät natiiveja komponentteja ja piilotettuja funktioita suorittaakseen haitallista koodia automaattisesti ilman käyttäjän toimia.. Ne käyttävät Androidin ContentProvideria pysyvyyden saavuttamiseksi ja järjestelmän nykyaikaisissa versioissa, kuten Android 13:ssa ja uudemmissa, toteutettujen kriittisten suojausten ohittamiseksi.
Muiden temppujen ohella ne poistavat käytöstä ponnahdusikkunoiden "Takaisin"-painikkeen, poistavat itsensä "Viimeisimmät tehtävät" -luettelosta ja saavat luvan peittää ikkunoita, mikä tekee koko näytön mainosten sulkemisen mahdottomaksi ja vie käyttäjältä hallinnan.
Harhaanjohtavasta mainonnasta henkilötietojen varastamiseen
Useimmat Vapor-sovellukset oli suunnattu ensisijaisesti massamainospetoksiin, jotka tunnetaan myös mainosohjelmina: häiritsevien mainosten näyttäminen vilpillisten tulojen tuottamiseksi. Nämä ovat täysin suhteettomia lukuja: jotkut analyysit osoittavat yli 200 miljoonaa väärennettyjen mainosten pyyntöä päivässä.
Mutta vahinko ei rajoitu pelkästään mainosten kyllästymiseen.. Monissa tapauksissa sovelluksissa käytettiin erittäin kehittyneitä tietojenkalastelutekniikoita: väärennettyjen kirjautumisnäyttöjen päällekkäin asettamisesta Facebook tai YouTube ("naulat" alkuperäisiin), jopa siinä määrin, että he pyytävät pankki- ja luottokorttitietoja ennen luvattujen toimintojen käyttöä.
Tämän tyyppisen hyökkäyksen suorat seuraukset menevät paljon pelkkää ärsytystä pidemmälle. Hyökkääjät voivat varastaa kirjautumistietoja, taloudellisia tietoja ja henkilötietoja, mikä aiheuttaa lopulta vakavia taloudellisia tappioita ja identiteettivarkauksia tietämättömille käyttäjille.
Tilannetta pahentaa myös kyky kerätä teknisiä tietoja itse laitteesta: malli, tunnisteet, kieli, sijainti, akku ja verkon käyttö. Kaikkia näitä käytetään uhrin profilointiin ja tiettyjen hyökkäysten kohdentamiseen.
Leviäminen ja jatkuva kehitys: miten uhat ilmestyvät uudelleen
Yksi Vapor-perheen häiritsevimmistä puolista on se, kuinka helposti kyberrikolliset sopeutuvat ja hiipivät uusia versioita Google Playhin, jopa sen jälkeen, kun joukko haittaohjelmia on poistettu. He käyttävät kertakäyttöisiä kehittäjätilejä, sekoittavat erilaisia mainos-SDK:ita ja kierrättävät nimiä ja profiileja jatkuvasti.
Lisäksi jakelu ei rajoitu viralliseen Play Kauppaan.Alueilla, joilla Google Playn käyttöä on rajoitettu tai sitä ei käytetä laajalti (kuten Kiinassa tai Intiassa), vaihtoehtoiset kaupat, suorat latauslinkit tai jopa sosiaalisen manipuloinnin kampanjat sähköpostin, tekstiviestien tai sosiaalisen median välityksellä ovat yleistymässä.
Emme saa unohtaa muita Android-haittaohjelmakampanjoissa esiintyviä levitystaktiikoita: tartunnan saaneita liitteitä, haitallista mainontaa (malvertising), verkkosivustoja, jotka tarjoavat drive-by-latauksia, P2P-verkkoja tai väärennettyjen crackien ja päivitysten käyttöä.
Käyttäjän seuraukset: Höyryn aiheuttamat oireet ja ongelmat
Vapor-perheen sovellusten tartunnat voivat aiheuttaa pitkän listan ongelmia, joista osa on ilmeisempiä ja toiset jäävät ensi silmäyksellä huomaamatta. Yleisimpiä oireita ovat:
- Toistuvat koko näytön välimainokset, joita on mahdotonta sulkea ja jotka ovat täysin irrallaan asiayhteydestä.
- Haitallisen sovelluksen kuvake on kadonnut sovellusvalikosta ja viimeaikaisista tehtävistä.
- Laitteen suorituskyvyn ja internetyhteyden nopeuden äkillinen lasku.
- Epänormaali datankulutus ja akun kulutus, jopa lepotilassa.
- Ohjaa epäilyttäville tai tietojenkalastelusivustoille selainta käytettäessä.
- Odottamattomat kirjautumispyynnöt palveluihin, kuten Facebook, YouTube tai muut alustot.
- Sovelluksen poistaminen tavanomaisella tavalla on vaikeaa tai mahdotonta.
Laitteeseesi vaikuttaa todennäköisesti Vapor-muunnos tai muu vastaava mainosohjelma, jos huomaat näitä toimintoja etkä pysty tunnistamaan, mikä sovellus aiheuttaa ne.
Mainospetos: Miten Vapor ansaitsee rahaa hyökkäyksillään
Mainospetokset ovat Vapor-sovellusten tärkein tulonlähde. Se sisältää tekaistujen interaktioiden (näyttökertojen, klikkausten) luomista, jotka huijaavat mainosverkostoja maksamaan olemattomasta tai manipuloidusta liikenteestä käyttökokemuksen ja laillisten mainostajien kustannuksella.
Taloudellinen vaikutus on valtava, ei vain käyttäjille, jotka kärsivät puhelimiinsa kohdistuvista vaurioista, vaan myös virastoille ja yrityksille, jotka menettävät rahaa vilpillisten mainoskampanjoiden vuoksi.
Kuinka tunnistaa ja poistaa haitalliset Vapor-sovellukset
Vapor-sovelluksen havaitseminen voi olla haastavaa, koska ne yleensä piiloutuvat ja naamioituvat paremmin kuin useimmat markkinoilla olevat mainosohjelmat. Asiantuntijat suosittelevat kuitenkin useita strategioita ja käytännön toimia, tietoverkkojen:
- Vertaa asennettujen sovellusten luetteloa kohdassa Asetukset > Sovellukset > Näytä kaikki sovellukset päävalikossa näkemiisi sovelluksiin. Jos sellainen ei näy käynnistysohjelmassa, ole epäileväinen.
- Näytä sovellusten akun ja datan käyttö. Laillisen sovelluksen ei tulisi koskaan kuluttaa liikaa resursseja ilman syytä.
- Kiinnitä erityistä huomiota sovelluksiin, joiden nimet ovat tuntemattomia tai jotka ovat vaihtaneet nimeään (esimerkiksi 'Google Voice').
- Jos sovellus pyytää käyttöoikeuksia, jotka eivät vastaa sen todellista toimintoa (esimerkiksi terveyspäiväkirja, joka pyytää pääsyä tekstiviesteihin tai kameraan), poista se välittömästi.
- Käytä Google Play Protectia tai luotettavaa mobiilivirustorjuntaohjelmaa laitteesi säännölliseen tarkistamiseen.
- Äärimmäisissä tapauksissa käynnistä puhelimesi vikasietotilaan poistaaksesi epäilyttävän sovelluksen manuaalisesti, jos et pysty tekemään sitä normaalitilassa.
Jos ongelmia ilmenee edelleen näiden tarkistusten jälkeen, suorita täysi skannaus ammattilaisohjelmalla ja harkitse tehdasasetusten palauttamista, jos tartunta jatkuu (vaikka tämän pitäisi olla viimeinen keino).
Intohimoinen kirjoittaja tavujen maailmasta ja tekniikasta yleensä. Rakastan jakaa tietämykseni kirjoittamalla, ja sen aion tehdä tässä blogissa, näyttää sinulle kaikki mielenkiintoisimmat asiat vempaimista, ohjelmistoista, laitteistoista, teknologisista trendeistä ja muusta. Tavoitteeni on auttaa sinua navigoimaan digitaalisessa maailmassa yksinkertaisella ja viihdyttävällä tavalla.