- Hlapi se je uspelo infiltrirati google Igrajte z več kot 300 aplikacije in 60 milijonov descargas
- Te aplikacije so sprva ostale neopažene, nato pa so pridobile zlonamerne zmogljivosti in prikazovale oglase na celotnem zaslonu ali kradle poverilnice.
- Zaradi prefinjenosti in vztrajnosti prevare jih niti Google Play Protect ne more vedno zaznati.
Naprave Android so postale priljubljena tarča kibernetskih kriminalcev, in le malo primerov je to pokazalo tako jasno kot neustavljiva kampanja zlonamernih aplikacij »Vapor«. Več mesecev se je na tisoče uporabnikov zanašalo na na videz legitimne aplikacije, ki so jih prenesli od samega podjetja. Google Play Store, ne da bi se zavedali, da skrivajo eno najbolj prefinjenih in uspešnih groženj zadnjega časa.
V tem članku bomo podrobno analizirali, kaj družina zlonamerna programska oprema Vapor, kako se mu je uspelo pritihotapiti v uradno trgovino Android, kakšne so bile njegove metode prevare in izogibanja, kakšna tveganja je predstavljal za uporabnike in, kar je najpomembneje, kako lahko tovrstne aplikacije zaznate in se pred njimi zaščitite. Če imate ali ste kdaj imeli telefon Android, je to obvezno branje, da zaščitite svojo zasebnost in denarnico.
Vzpon hlapov: Kampanja, ki je prevarala milijone
V začetku leta 2024 so varnostni strokovnjaki odkrili izjemno kampanjo zlonamerne programske opreme, znano kot »Vapor«, ki ji je uspelo prodreti v trgovino Google Play in doseči osupljivo število prenosov. Glede na poročila laboratorijev, kot sta IAS Threat Lab in Bitdefender, je bilo sprva identificiranih 180 prizadetih aplikacij, številka pa se je kmalu povečala na 331 odstranjenih aplikacij, čeprav bi dejansko število lahko bilo še višje.
Te aplikacije so skupaj prenesle več kot 60 milijonov ljudi., kar pomeni, da je število potencialno ogroženih naprav ogromno. Države, ki so jih okužbe najbolj prizadele, so bile Brazilija, Združene države Amerike, Mehika, Turčija in Južna Koreja, čeprav noben uporabnik Androida ni bil popolnoma varen, medtem ko so bile aplikacije aktivne v trgovini Google.
Zaskrbljujoče pri Vaporju je, da so njegovi ustvarjalci uspeli zaobiti varnostne mehanizme Google Play zahvaljujoč strategiji, ki je bila tako preprosta kot učinkovita.Ob izdaji so aplikacije opravljale natanko obljubljene funkcije (dnevniki, aplikacije za zdravje, skenerji QR kod, optimizatorji itd.), brez vidnih sledi zlonamerne programske opreme. Vendar pa so po namestitvi prejeli posodobitve z oddaljenih strežnikov (C2 ali Command & Control), ki so prenesli zlonamerno kodo in aktivirali njen polni škodljivi potencial, uporabnik pa je zdaj aplikaciji zaupal.
Še huje, razvijalci so uporabljali več računov Google Play in objavili le peščico aplikacij na račun, da bi porazdelili tveganje in otežili množično odstranjevanje. Poleg tega bi lahko vsaka aplikacija uporabljala drugačen komplet za razvoj programske opreme za oglase, s čimer bi se izognili vzorcem, ki jih sistemi za zaščito pred zlonamerno programsko opremo zlahka zaznajo.
Najbolje prenesene aplikacije 'Vapor'
Med seznamom ogroženih aplikacij izstopa več, ki so dosegle več kot milijon prenosov, vse pa so videti popolnoma neškodljive. Nekateri najbolj priljubljeni so bili:
- AquaTracker – 1 milijon prenosov
- Kliknite Shrani Downloader – 1 milijon prenosov
- Scan Hawk – 1 milijon prenosov
- Vodni merilnik časa – 1 milijon prenosov
- Bodi več – 1 milijon prenosov
- BeatWatch – 500.000 prenosov
- TranslateScan – 100.000 prenosov
- Lokator slušalk / Lokator telefona – 50.000 prenosov
Raznolikost kategorij je ključna za strategijo Vaporja: aplikacije za zdravje in fitnes, dnevniki in upravitelji not, orodja za bobne in celo pripomočki, kot so skenerji ali lokatorji QR kod. Vsi so vsaj sprva izpolnili funkcionalno obljubo, ki so jo oglaševali, kar je spodbudilo pozitivne ocene in množične prenose brez suma.
Metode prevare: Kako so aplikacije Vapor premagale varnostne ovire
Uspeh Vaporja ni le v njegovi množični distribuciji, temveč tudi v njegovi prefinjenosti pri izogibanju Googlovim in uporabnikovim varnostnim nadzorom. Eden najbolj iznajdljivih mehanizmov je bila uporaba datoteke AndroidManifest.xml za onemogočanje tako imenovane aktivnosti zaganjalnika, ki je glavni zaslon, ki se zažene, ko tapnete ikono aplikacije.
Zakaj je to tako nevarno? V bistvu zato, ker lahko aplikacija po prvi namestitvi in zagonu povzroči, da njena ikona popolnoma izgine iz menija Start., kar je ostalo popolnoma neopaženo. Uporabniku se zdi, kot da nikoli ni obstajal, čeprav še naprej deluje v ozadju. Včasih so jih v sistemskih nastavitvah celo preimenovali z nevtralnimi imeni, kot je »Google Voice«, zaradi česar jih je bilo še težje zaznati.
Poleg tega se aplikacije Vapor zanašajo na izvorne komponente in skrite funkcije za samodejno izvajanje zlonamerne kode brez dodatne interakcije uporabnika.. Uporabljajo Androidov ContentProvider za doseganje trajnosti in obhod kritičnih zaščit, ki so implementirane v sodobnih različicah sistema, kot je Android 13 in novejši.
Med drugimi triki onemogočijo gumb »Nazaj« pri pojavnih oglasih, se odstranijo s seznama »Nedavna opravila« in pridobijo dovoljenje za prekrivanje oken, zaradi česar je nemogoče zapreti oglase v celozaslonskem načinu in uporabniku odvzeti nadzor.
Od zavajajočega oglaševanja do kraje osebnih podatkov
Večina aplikacij Vapor je bila namenjena predvsem množičnim goljufijam z oglasi, znanim tudi kot adware: prikazovanje vsiljivih oglasov za ustvarjanje goljufivih prihodkov. To so absolutno nesorazmerne številke: nekatere analize kažejo na več kot 200 milijonov zahtev za lažne oglase na dan.
Vendar škoda ni omejena le na nasičenost z oglaševanjem.. V mnogih primerih so aplikacije vključevale zelo napredne tehnike lažnega predstavljanja: od prekrivanja lažnih prijavnih zaslonov Facebook ali YouTube ("pritrjuje" originale), do te mere, da zahtevajo bančne podatke in podatke o kreditni kartici kot predhodni korak za dostop do obljubljene funkcionalnosti.
Neposredne posledice te vrste napada segajo daleč preko same motnje. Napadalci lahko ukradejo prijavne podatke, finančne podatke in osebne podatke, kar na koncu povzroči hude finančne izgube in krajo identitete nič hudega slutečih uporabnikov.
Še en dejavnik, ki poslabša situacijo, je možnost zbiranja tehničnih podatkov iz same naprave: modela, identifikatorjev, jezika, lokacije, baterije in porabe omrežja, ki se vse uporablja za boljše profiliranje žrtve in ciljanje na specifične napade.
Razširjenost in nenehen razvoj: kako se grožnje pojavljajo
Eden najbolj motečih vidikov družine Vapor je enostavnost, s katero se kibernetski kriminalci prilagajajo in ponovno vnašajo nove različice v Google Play, tudi potem, ko je bil odstranjen val zlonamernih aplikacij. Uporabljajo račune razvijalcev za enkratno uporabo, mešajo različne oglaševalske SDK-je ter nenehno menjajo imena in profile.
Poleg tega distribucija ni omejena na uradno trgovino Play.V regijah, kjer je Google Play omejen ali se ne uporablja pogosto (kot sta Kitajska ali Indija), se širijo alternativne trgovine, neposredne povezave za prenos ali celo kampanje socialnega inženiringa prek e-pošte, SMS-ov ali družbenih medijev.
Ne smemo pozabiti na druge taktike distribucije, ki so prisotne tudi v kampanjah zlonamerne programske opreme za Android: okužene priloge, zlonamerno oglaševanje (malvertising), spletna mesta, ki ponujajo prenose mimo sistema, omrežja P2P ali uporabo lažnih razpok in posodobitev.
Posledice za uporabnika: simptomi in težave, ki jih povzročajo hlapi
Okužbe z aplikacijami iz družine Vapor lahko povzročijo dolg seznam težav, nekatere bolj očitne, druge pa na prvi pogled ostanejo neopažene. Med najpogostejšimi simptomi so:
- Ponavljajoči se celozaslonski vmesni oglasi, ki jih je nemogoče zapreti in so popolnoma izven konteksta.
- Ikona zlonamerne aplikacije je izginila iz predala aplikacij in nedavnih opravil.
- Nenadno zmanjšanje zmogljivosti naprave in hitrosti internetne povezave.
- Nenormalna poraba podatkov in baterije, tudi v stanju mirovanja.
- Preusmerja na sumljiva ali lažna spletna mesta pri uporabi brskalnika.
- Nepričakovane zahteve za prijavo v storitve, kot so Facebook, YouTube ali druge platforme.
- Težave ali nezmožnost odstranitve aplikacije na običajen način.
Če opazite tovrstno vedenje in ne morete ugotoviti, katera aplikacija ga povzroča, je vaša naprava verjetno prizadeta zaradi različice programa Vapor ali druge podobne oglasne programske opreme.
Goljufije z oglasi: Kako Vapor monetizira svoje napade
Oglaševalske goljufije so glavni vir prihodka za aplikacije Vapor. Gre za ustvarjanje lažnih interakcij (vtisi, kliki), ki zavajajo oglaševalska omrežja, da plačajo za neobstoječ ali manipuliran promet, na račun uporabniške izkušnje in legitimnih oglaševalcev.
Ekonomski vpliv je ogromen, ne le za uporabnike, ki utrpijo škodo na svojih telefonih, temveč tudi za agencije in podjetja, ki izgubljajo denar zaradi goljufivih oglaševalskih akcij.
Kako odkriti in odstraniti zlonamerne aplikacije Vapor
Odkrivanje aplikacije Vapor je lahko izziv, saj se ponavadi skrije in prikrije bolje kot večina oglaševalske programske opreme na trgu. Vendar pa obstaja več strategij in praktičnih korakov, ki jih priporočajo strokovnjaki na kibernetska varnost:
- Seznam nameščenih aplikacij v Nastavitve > Aplikacije > Ogled vseh aplikacij primerjajte s tistimi, ki jih vidite v glavnem meniju. Če se eden ne prikaže v zaganjalniku, bodite sumljivi.
- Ogled porabe baterije in podatkov za aplikacije. Legitimna aplikacija ne sme nikoli brez razloga porabljati prekomernih virov.
- Bodite še posebej pozorni na aplikacije, katerih imena vam niso znana ali so spremenile ime (na primer »Google Voice«).
- Če aplikacija zahteva dovoljenja, ki ne ustrezajo njeni dejanski funkciji (na primer zdravstveni dnevnik, ki zahteva dostop do SMS-ov ali kamere), jo takoj odstranite.
- Za redno skeniranje naprave uporabljajte Google Play Protect ali zaupanja vreden mobilni protivirusni program.
- V skrajnih primerih zaženite telefon v »varnem načinu«, da ročno odstranite sumljivo aplikacijo, če tega ne morete storiti v običajnem načinu.
Če po teh preverjanjih še vedno imate težave, zaženite popolno skeniranje s profesionalnim programom in razmislite o ponastavitvi na tovarniške nastavitve, če okužba ne preneha (čeprav bi to morala biti zadnja možnost).
Strasten pisec o svetu bajtov in tehnologije nasploh. Rad delim svoje znanje s pisanjem in to je tisto, kar bom počel v tem blogu, saj vam bom pokazal vse najbolj zanimive stvari o pripomočkih, programski opremi, strojni opremi, tehnoloških trendih in še več. Moj cilj je, da vam pomagam krmariti po digitalnem svetu na preprost in zabaven način.