- Nakalusot ang singaw Google Maglaro ng higit sa 300 app at 60 milyon descargas
- Ang mga app na ito ay hindi napansin noong una, ngunit pagkatapos ay nakakuha ng mga nakakahamak na kakayahan at nagpakita ng mga full-screen na ad o nagnakaw ng mga kredensyal.
- Ang pagiging sopistikado ng scam at ang pagtitiyaga nito ay nangangahulugan na kahit na ang Google Play Protect ay hindi palaging matukoy ang mga ito.
Ang mga device Android ay naging ginustong target ng mga cybercriminal, at ilang mga halimbawa ang nagpakita nito nang kasinglinaw ng hindi mapipigilan na 'Vapor' na nakakahamak na kampanya sa app. Sa loob ng ilang buwan, libu-libong user ang umasa sa tila mga lehitimong application na na-download mula sa mismong kumpanya. Google Store Play, walang kamalay-malay na kinimkim nila ang isa sa mga pinaka-sopistikado at matagumpay na banta nitong mga nakaraang panahon.
Sa artikulong ito susuriin natin nang malalim kung ano ang pamilya malware Ang singaw, kung paano ito nakalusot sa opisyal na Android store, kung ano ang mga paraan ng panlilinlang at pag-iwas nito, kung ano ang mga panganib na idinudulot nito sa mga user, at, higit sa lahat, kung paano mo matutukoy at mapoprotektahan ang iyong sarili mula sa mga ganitong uri ng app. Kung nagmamay-ari ka o nagmamay-ari ka na ng Android phone, ito ay dapat basahin upang mapanatiling ligtas ang iyong privacy at ang iyong wallet.
The Rise of Vapor: The Campaign That Fooled Million
Noong unang bahagi ng 2024, naka-detect ang mga eksperto sa seguridad ng isang hindi pa nagagawang malware campaign na kilala bilang 'Vapor,' na nagawang makalusot sa Google Play Store at makamit ang nakakagulat na mga numero ng pag-download. Ayon sa mga ulat mula sa mga lab tulad ng IAS Threat Lab at Bitdefender, 180 apektadong app ang unang natukoy, isang figure na hindi nagtagal ay tumaas sa 331 na tinanggal na apps, bagama't ang aktwal na bilang ay maaaring mas mataas pa.
Ang mga app na ito ay may kabuuang mahigit sa 60 milyong pinagsamang pag-download., na nangangahulugang napakarami ng bilang ng mga potensyal na nakompromiso na device. Ang mga bansang pinakanaapektuhan ng mga impeksyon ay ang Brazil, United States, Mexico, Türkiye, at South Korea, bagama't walang user ng Android ang ganap na ligtas habang aktibo ang mga app sa Google store.
Ang nakababahala tungkol sa Vapor ay nagtagumpay ang mga tagalikha nito na iwasan ang mga mekanismo ng seguridad ng Google Play salamat sa isang diskarte na kasing simple ng pagiging epektibo nito.: Sa paglabas, eksaktong gumanap ang mga app sa mga ipinangakong function (talaarawan, health app, QR scanner, optimizer, atbp.), nang walang nakikitang bakas ng malware. Gayunpaman, pagkatapos ng pag-install, nakatanggap sila ng mga update mula sa mga malalayong server (C2, o Command & Control) na nag-download ng malisyosong code at nag-activate ng buong potensyal na nakakapinsala nito, na pinagkakatiwalaan na ngayon ng user ang app.
Ang masama pa nito, gumamit ang mga developer ng maraming Google Play account, na nag-publish lamang ng ilang app sa bawat account upang maikalat ang panganib at gawing mahirap ang malawakang pag-alis. Bukod pa rito, maaaring gumamit ang bawat app ng ibang SDK ng ad, sa gayon ay maiiwasan ang mga pattern na madaling matukoy ng mga anti-malware system.
Nangungunang pinakana-download na 'Vapor' na app
Kabilang sa listahan ng mga nakompromisong app, ang ilan ay namumukod-tangi, na umaabot sa mahigit isang milyong pag-download, lahat ng mga ito ay tila ganap na hindi nakakapinsala. Ang ilan sa mga pinakasikat ay:
- AquaTracker – 1 milyong pag-download
- ClickSave Downloader – 1 milyong pag-download
- I-scan ang Hawk – 1 milyong pag-download
- Tagasubaybay ng Oras ng Tubig – 1 milyong pag-download
- Maging Higit Pa – 1 milyong pag-download
- BeatWatch – 500.000 download
- TranslateScan – 100.000 download
- Handset Locator / Phone Locator – 50.000 download
Ang pagkakaiba-iba ng kategorya ay susi sa diskarte ng Vapor: mga app sa kalusugan at fitness, mga journal at tagapamahala ng tala, mga tool sa drum, at kahit na mga utility tulad ng mga QR code scanner o tagahanap. Lahat sila ay natupad, kahit sa simula, ang functional na pangako na kanilang ina-advertise, na naghikayat ng mga positibong review at napakalaking pag-download nang walang hinala.
Mga paraan ng panlilinlang: Paano nalampasan ng mga Vapor app ang mga hadlang sa seguridad
Ang tagumpay ng Vapor ay nakasalalay hindi lamang sa malawakang pamamahagi nito, kundi pati na rin sa pagiging sopistikado nito sa pag-iwas sa sariling mga kontrol sa seguridad ng Google at ng mga user. Ang isa sa mga pinaka-mapanlikhang mekanismo ay ang paggamit ng AndroidManifest.xml file upang i-disable ang tinatawag na Launcher Activity, na siyang pangunahing screen na naglulunsad kapag na-tap mo ang icon ng app.
Bakit napakadelikado nito? Karaniwang dahil sa sandaling na-install at tumakbo sa unang pagkakataon, ang app ay maaaring maging sanhi ng ganap na pagkawala ng icon nito mula sa start menu., ganap na hindi napapansin. Para sa gumagamit, tila hindi ito umiral, kahit na patuloy itong tumatakbo sa background. Minsan pinalitan pa ang mga ito ng pangalan sa mga setting ng system na may mga neutral na pangalan tulad ng 'Google Voice', na ginagawang mas mahirap silang matukoy.
Bukod pa rito, umaasa ang Vapor app sa mga native na bahagi at mga nakatagong function upang awtomatikong magsagawa ng malisyosong code, nang walang karagdagang pakikipag-ugnayan ng user.. Ginagamit nila ang ContentProvider ng Android upang makakuha ng pagpupursige at i-bypass ang mga kritikal na proteksyon na ipinatupad sa mga modernong bersyon ng system, gaya ng Android 13 at mas mataas.
Kabilang sa iba pang mga trick, hindi nila pinapagana ang button na "Bumalik" sa mga pop-up ad, inaalis ang kanilang mga sarili sa listahan ng "Mga Kamakailang Gawain," at nakakakuha ng pahintulot na mag-overlay ng mga bintana, na ginagawang imposibleng isara ang mga full-screen na ad, na inaalis ang kontrol ng user.
Mula sa mapanlinlang na advertising hanggang sa pagnanakaw ng personal na data
Karamihan sa mga Vapor app ay pangunahing naka-target sa malawakang pandaraya sa ad, na kilala rin bilang adware: pagpapakita ng mga mapanghimasok na ad upang makabuo ng mapanlinlang na kita. Ang mga ito ay ganap na hindi katimbang ng mga numero: ang ilang pagsusuri ay tumuturo sa higit sa 200 milyong kahilingan para sa mga pekeng ad bawat araw.
Ngunit ang pinsala ay hindi limitado sa saturation ng advertising.. Sa maraming kaso, ang mga app ay may kasamang napaka-advance na mga diskarte sa phishing: mula sa pag-overlay ng mga pekeng login screen ng Facebook o YouTube ("nails" sa mga orihinal), hanggang sa humiling ng mga detalye ng pagbabangko at credit card bilang paunang hakbang sa pag-access sa ipinangakong functionality.
Ang mga direktang kahihinatnan ng ganitong uri ng pag-atake ay higit pa sa inis. Maaaring magnakaw ng mga kredensyal sa pag-log in, impormasyon sa pananalapi, at personal na data ang mga umaatake, na sa huli ay nagdudulot ng matinding pagkalugi sa pananalapi at pagnanakaw ng pagkakakilanlan para sa mga hindi pinaghihinalaang user.
Ang isa pang salik na nagpapalala sa sitwasyon ay ang kakayahang mangolekta ng teknikal na data mula sa mismong device: modelo, mga identifier, wika, lokasyon, baterya at paggamit ng network, na lahat ay ginagamit upang mas mahusay na ma-profile ang biktima at mag-target ng mga partikular na pag-atake.
Pamamahagi at patuloy na ebolusyon: kung paano muling lumitaw ang mga banta
Ang isa sa mga pinaka nakakagambalang aspeto ng pamilya ng Vapor ay ang kadalian ng mga cybercriminal na umangkop at muling nag-sneak ng mga bagong variant sa Google Play, kahit na matapos ang isang alon ng mga nakakahamak na app ay inalis. Gumagamit sila ng mga disposable developer account, naghahalo ng iba't ibang SDK sa pag-advertise, at patuloy na iniikot ang mga pangalan at profile.
Higit pa rito, ang pamamahagi ay hindi limitado sa opisyal na Play Store.Sa mga rehiyon kung saan pinaghihigpitan o hindi malawakang ginagamit ang Google Play (gaya ng China o India), dumarami ang mga alternatibong tindahan, direktang link sa pag-download, o maging ang mga social engineering campaign sa pamamagitan ng email, SMS, o social media.
Hindi natin dapat kalimutan ang iba pang taktika sa pamamahagi na naroroon din sa mga Android malware campaign: mga nahawaang attachment, nakakahamak na advertising (malvertising), mga website na nag-aalok ng mga drive-by na pag-download, mga P2P network, o ang paggamit ng mga pekeng crack at update.
Mga Bunga ng Gumagamit: Mga Sintomas at Problema na Dulot ng Vapor
Ang mga impeksyon sa mga app mula sa pamilya ng Vapor ay maaaring magdulot ng mahabang listahan ng mga problema, ang ilan ay mas halata at ang iba ay hindi napapansin sa unang tingin. Kabilang sa mga pinakakaraniwang sintomas ay:
- Mga umuulit na full-screen na interstitial ad na imposibleng isara at ganap na wala sa konteksto.
- Nawala ang nakakahamak na icon ng app mula sa drawer ng app at mga kamakailang gawain.
- Biglang pagbaba sa performance ng device at bilis ng koneksyon sa Internet.
- Abnormal na data at pagkonsumo ng baterya, kahit na idle.
- Nagre-redirect sa mga kahina-hinalang site o phishing kapag ginagamit ang browser.
- Mga hindi inaasahang kahilingan sa pag-log in sa mga serbisyo tulad ng Facebook, YouTube, o iba pang mga platform.
- Kahirapan o imposibilidad na i-uninstall ang application sa isang maginoo na paraan.
Malamang na apektado ang iyong device ng isang variant ng Vapor o iba pang katulad na adware kung mapapansin mo ang mga gawi na ito at hindi mo matukoy kung aling app ang nagdudulot ng mga ito.
Panloloko sa Ad: Paano Pinagkakakitaan ng Vapor ang Mga Pag-atake Nito
Ang pandaraya sa ad ay ang pangunahing pinagmumulan ng kita para sa Vapor apps. Kabilang dito ang pagbuo ng mga pekeng pakikipag-ugnayan (mga impression, pag-click) na nanlinlang sa mga network ng ad na magbayad para sa hindi umiiral o manipulahin na trapiko, sa kapinsalaan ng karanasan ng user at mga lehitimong advertiser.
Napakalaki ng epekto sa ekonomiya, hindi lamang para sa mga user, na dumaranas ng pinsala sa kanilang mga telepono, kundi pati na rin sa mga ahensya at kumpanyang nalulugi sa mga mapanlinlang na kampanya sa advertising.
Paano mag-detect at mag-alis ng mga nakakahamak na Vapor app
Ang pag-detect ng Vapor app ay maaaring maging mahirap, dahil mas madalas nilang itago at i-camouflage ang kanilang sarili kaysa sa karamihan ng adware sa market. Gayunpaman, mayroong ilang mga diskarte at praktikal na hakbang na inirerekomenda ng mga eksperto sa cybersecurity:
- Ihambing ang listahan ng mga naka-install na app sa Mga Setting > Mga App > Tingnan ang lahat ng mga app sa mga nakikita mo sa pangunahing menu. Kung mayroong hindi lumalabas sa launcher, maghinala.
- Tingnan ang paggamit ng baterya at data ng mga app. Ang isang lehitimong aplikasyon ay hindi dapat kumonsumo ng labis na mapagkukunan nang walang dahilan.
- Bigyang-pansin ang mga app na ang mga pangalan ay hindi pamilyar o nagbago ng kanilang pangalan (halimbawa, 'Google Voice').
- Kung humiling ang isang app ng mga pahintulot na hindi tumutugma sa aktwal na function nito (halimbawa, isang health diary na humihiling ng access sa SMS o camera), i-uninstall ito kaagad.
- Gamitin ang Google Play Protect o isang pinagkakatiwalaang mobile antivirus upang regular na i-scan ang iyong device.
- Sa matinding mga kaso, i-boot ang iyong telepono sa 'Safe Mode' upang manu-manong alisin ang kahina-hinalang app kung hindi mo ito magagawa sa normal na mode.
Kung mayroon ka pa ring mga problema pagkatapos ng mga pagsusuring ito, magpatakbo ng isang buong pag-scan gamit ang isang propesyonal na programa at isaalang-alang ang isang factory reset kung magpapatuloy ang impeksyon (bagaman ito ay dapat na isang huling paraan).
Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.