Google zakazuje sideloadingu, a tymczasem w jego sklepie są setki szkodliwych aplikacji

Mobilne szkodniki to temat, który – niestety – jest cały czas aktualny. Jak się jednak okazuje, plany Google’a dotyczące zamknięcia systemu nie są wyjściem, skoro sam „hoduje” setki złośliwych aplikacji.

Google psioczy na apki poza kontrolą, a tymczasem…

Na początku września pisałem o planach Google’a, który chce wprowadzić rozwiązanie znane z iOS – czyli brak możliwości używania aplikacji spoza Play Store. Dlaczego? Ponieważ ich pobieranie spoza oficjalnego sklepu (czyli sideloading) znacznie zwiększa ryzyko złapania wirusa.

I choć Google Play wdraża coraz bardziej zaawansowane zabezpieczenia, aby chronić użytkowników przed złośliwym oprogramowaniem i innymi zagrożeniami bezpieczeństwa, okazuje się, że są one niewystarczające. Jak się bowiem okazało, setki złośliwych aplikacji na Androida są wykorzystywane do masowych oszustw reklamowych typu „SlopAds”.

Sposób ich przeprowadzania jest mocno wyrafinowany, co pozwala na skuteczne zamaskowanie zagrożenia. Świadczy to o tym, że doświadczeni cyberprzestępcy wciąż znajdują sposoby na obejście zabezpieczeń, wykorzystując występujące w nich luki do generowania przychodów i atakowania urządzeń na dużą skalę.

Co zakrawa na ironię losu – na początku tego roku Google opublikował dane dotyczące rzekomej odporności Androida na złośliwe oprogramowanie i inne zagrożenia bezpieczeństwa.

SlopAds – reklama dźwignią zarobku

„Slop Ads” odkryli badacze z Satori Threat Intelligence, stanowiącej część Human Defense Platform. Jest to złożona kampania oszustw reklamowych i kliknięć oparta na ponad 224 aplikacjach! Badacze stwierdzili, że aplikacje wykorzystywały sprytne sztuczki, aby ominąć coraz bardziej zaawansowane zabezpieczenia Google Play.

Łącznie aplikacje te zostały pobrane z Google Play ponad 38 milionów razy w 228 krajach. Nazwa kampanii pochodzi od masowo produkowanego brandingu aplikacji w stylu sztucznej inteligencji, nawiązującego do zalewu niskiej jakości, cyfrowych „śmieci” rozprzestrzeniających się obecnie w internecie.

Aplikacje te naśladowały popularne usługi, jak ChatGPT, ale ich aktywność była kierowana przez serwery poleceń i kontroli (C2) obsługiwane przez atakujących.

Aktywność szkodników była kolosalna. Ocenia się, że SlopAds generowało 2,3 miliarda fałszywych żądań reklam dziennie! Większość wyświetleń pochodziła ze Stanów Zjednoczonych (30%), Indii (10%) i Brazylii (7%).

Gdy użytkownicy instalowali złośliwe oprogramowanie bezpośrednio z Google Play, zachowywało się ono jak typowa aplikacja, bez oznak oszustwa lub złośliwej aktywności. Jednak gdy użytkownicy instalowali je po kliknięciu fałszywej reklamy, aplikacja pobierała zaszyfrowany plik konfiguracyjny, który dostarczał złośliwy ładunek.

Aplikacje SlopAds pobierały obrazy w formacie PNG, które wykorzystywały steganografię do ukrywania fragmentów złośliwego archiwum APK. Po utworzeniu, kompletne złośliwe oprogramowanie – nazwane Fat Module – wykorzystywało ukryte instancje przeglądarki Chrome (WebView) do gromadzenia danych z urządzenia i komunikacji z serwerami C2.

Wirusy to biznes – i to dobry

No ale po co to wszystko? Otóz złośliwe domeny generowały fałszywe żądania reklam, podszywając się pod legalne serwisy informacyjne. To właśnie zapewniało cyberprzestępcom stały strumień przychodów z reklam.

Analitycy Satori stwierdzili, że infrastruktura C2 obejmowała ponad 300 domen, co wskazuje na gotowość zasięg cyberprzestępców i możliwość rozszerzenia tej oraz podobnych akcji.

Oczywiście Google usunęło wszystkie 224 zidentyfikowane aplikacje ze Sklepu Play, ale SlopAds może pojawić się ponownie pod innymi nazwami, dostosowując się do środków zaradczych Mountain View.

No cóż – wyszło na to, że nie sideloading jest największym zagrożeniem dla użytkowników Androida, gdyż z takich plików korzysta ich niewielki procent, a najciemniej pod latarnią.

A jak rozpoznać, czy masz wirusa w telefonie? Zobacz nasz poradnik!

Źródło: Human Security