Google čisti Android. Dugogodišnja besplatna aplikacija za sve se bliži kraju, sa isključenjem Play Store-a i pooštravanjem ograničenja u vezi sa bočnim učitavanjem koji sada pogađaju korisnike, a Play Protect će uskoro biti poboljšan pomoću detekcije pretnji uživo na Android-u 15. Sve ovo ima za cilj da zatvori jaz u odnosu na iOS i zaključani iPhone ekosistem.
Ali i dalje vidimo česta upozorenja za korisnike da i dalje postoje veoma ozbiljni rizici. I to je svakako slučaj ove nedelje, sa dva odvojena bezbednosna izveštaja. Prvo Kaspery je upozorio na rizike od „modifikovanih verzija Spotify, WhatsApp, Minecraft i drugih aplikacija sa Google Play-a“.
Istraživači ponovo ističu opasnosti od Necro trojanca, o kojima je prvi put objavljeno 2019. godine, kada su „otkrili trojanca u CamScanner-u, aplikaciji za prepoznavanje teksta, koja je dovela do preko 100 miliona preuzimanja na Google Play-u. Sada su „nekromanseri“ ubrizgali novu krv u stari trojanac: pronašli smo verziju bogatiju funkcijama kako u popularnim aplikacijama na Google Play-u, tako iu raznim modovima aplikacija na nezvaničnim sajtovima.
Kaspersky kaže da je pronašao trojanac na Spotify modu koji se distribuira van Play Store-a, ali se takođe krio u Wuta Camera, koji je „pronašao put na Google Play, odakle je aplikacija preuzeta više od 10 miliona puta“.
Savet je jednostavan. Ne instalirajte sadržaj sa prodavnica trećih strana, a recite ne modovima za popularne aplikacije iz nezvaničnih izvora. Aplikacije na Google Play-u i drugim zvaničnim platformama takođe treba tretirati sa zdravom dozom skepticizma. Čak se i popularna aplikacija poput Wuta Camera, sa 10 miliona preuzimanja, pokazala nemoćnom pred Necro-om.”
Trojanac je evoluirao i njegovo zamagljivanje je daleko uznapredovalo u odnosu na njegove ranije iteracije. Međutim, njegova namera ostaje ista: „Učitajte i pokrenite sve DEX datoteke, instalirajte preuzete aplikacije, tunelirajte kroz uređaj žrtve, pa čak i - potencijalno - skinite plaćene pretplate. Pored toga, mogu da prikazuju i komuniciraju sa oglasima u nevidljivim prozorima, kao i da otvaraju proizvoljne veze i pokreću bilo koji JavaScript kod.”
Drugo upozorenje dolazi od kompanije Cleafy, koji upozorava da je u junu „identifikovao neklasifikovani Android bankovni trojanac... varijantu TrickMo-a, iako sa novougrađenim mehanizmima protiv analize“.
TrickMo je evolucija zloglasnog TrickBot-a, opet sa naprednijim prikrivanjem i proaktivnim maskiranjem od analize do ometanja otkrivanja. Opet, TrickMo je prvi put identifikovan još 2019. godine, i tako ponovo vidimo zajednički obrazac, kako ove pretnje evoluiraju i jačaju kako se stalna igra mačke i miša nastavlja, dok se različite odbrane postavljene oko telefona i prodavnica poboljšavaju.
TrickMo-ova torba trikova je impresivno kompletna i uključuje:
- Presretanje jednokratnih lozinki (OTP)
- Snimanje ekrana i Keilogging
- Mogućnosti daljinskog upravljanja
- Zloupotreba usluge pristupačnosti
- Napredne tehnike zamagljivanja
- Mehanizmi protiv analize
Opet, nije nešto što želite na svom telefonu. Ovaj zlonamerni softver se distribuira putem lažnog ažuriranja Chrome pretraživača, ali onog koji kada se instalira, od korisnika traži „poruku upozorenja koja poziva korisnike da ažuriraju Google Play usluge“.
Prema Cleafy, „nova aplikacija je lažno nazvana „Google usluge“ i predstavlja se kao legitimna instanca Google Play usluga. Nakon pokretanja, aplikacija prikazuje prozor koji traži od korisnika da omogući usluge pristupačnosti za aplikaciju." Ovaj uredan društveni inženjering, prikrivanje zlonamernog softvera iza pouzdanih imena nije iznenađujuće efikasan.
Zajednička nit ovde je jasna. Ne verujte modovima ili ažuriranjima ili čak početnim instalacijama popularnih aplikacija iz bilo čega osim zvaničnih prodavnica. Ne nasedajte na nezvanične modove iz bilo čega drugog osim izvora. Pa čak i obratite pažnju na zvanične instalacije za trivijalne aplikacije nepoznatih programera.
Kao odgovor na nove izveštaje, portparol Google-a mi je rekao da su „sve zlonamerne verzije aplikacija identifikovane u ovom izveštaju uklonjene sa Google Play-a pre objavljivanja izveštaja. Korisnici Android-a su automatski zaštićeni od poznatih verzija ovog malvera pomoću Google Play Protect-a, koji je podrazumevano uključen na Android uređajima sa Google Play uslugama. Google Play zaštita može da upozori korisnike ili blokira aplikacije za koje se zna da pokazuju zlonamerno ponašanje, čak i kada te aplikacije potiču iz izvora izvan Play-a.
Google je uverio da će Play Protect braniti korisnike i od Necro-a i od TrickMo-a. Zaista je neophodno da korisnici osiguraju da je Play Protect omogućen na uređajima; kada se pretnje potvrde, to će vas odbraniti od zaraze u svim budućim slučajevima.
Govoreći o novim pretnjama, upravo je objavljen treći izveštaj o novom Android malveru za kratko vreme. Ponovo, nastavljajući temu, ThreatFabric upozorava da nova Octo varijanta cilja na korisnike, dok se „maskira u aplikacije Google Chrome, NordVPN i Enterprise Europe Network“.
Sam Octo, deo porodice Exobot, je toliko dobro uspostavljen da istraživači upozoravaju da bi „otkriće nove verzije, nazvane 'Octo2' od strane njenog tvorca, potencijalno moglo da promeni pejzaž pretnji i Modus Operandi aktera koji stoje iza njega .”
Opet, nastavljajući sa temom, ovo je slučaj malvera u razvoju, a ne potpuno nove pretnje. „Prvi uzorci familije zlonamernog softvera Exobot viđeni su 2016. U to vreme, to je bio bankarski trojanac koji je mogao da izvrši napade sa preklapanjem i da kontroliše pozive, SMS i push obaveštenja.“ Evolucija od Exobota do „ExobotCompact“ (oktobar) došla je tri godine kasnije, 2019.
ThreatFabric kaže da je otkrio Octo aktivnost kroz kampanje Malvare-as-a-Service čak u „Evropi, SAD, Kanadi, Bliskom istoku, Singapuru i Australiji“. Iznajmljivanje zlonamernog softvera radi na ubrzanju njegovog širenja, koristeći više drugih aktera pretnji i potreban hardver i prikrivanje. Očekuje se da će nova varijanta zlonamernog softvera, Octo2, neprimetno zameniti svog prethodnika i tako iskoristiti uspostavljene kanale za tržište.
Istraživači kažu da „podešavanja Octo2 sadrže tragove više aplikacija i aplikacija koje su na radaru aktera… To znači da kada Octo2 otkrije push obaveštenje iz jedne od aplikacija na listi, presreće ga i neće ga pokazati žrtvi . Prisustvo aplikacije na listi znači da je od interesa za sajber kriminalce i da se već spremaju da napadnu njene korisnike.
Opet kao i drugde, Octo2 koristi lažno „Google“ iskačuće obaveštenje da bi prevario Android korisnike da zaobiđu ograničenja uređaja kako bi omogućili pokretanje malvera. Nije iznenađujuće da su materijalne promene napravljene u ovoj najnovijoj iteraciji – ali namera ostaje da se ukradu bankarski akreditivi specifični za aplikaciju putem ciljanih kampanja.
„Pojava Octo2 varijante signalizira buduće izazove za sigurnost mobilnog bankarstva, jer njegove poboljšane mogućnosti i šira upotreba predstavljaju značajne rizike… Octo2 se nadograđuje na [svojim] temeljima sa još snažnijim mogućnostima daljinskog pristupa i sofisticiranim tehnikama zamagljivanja. To otežava bezbednosnim sistemima da ga otkriju i uklone, povećavajući dugovečnost i potencijalni uticaj malvera.“
Octo se možda menja, ali saveti za korisnike ostaju isti; evo osveženja o drugim zlatnim pravilima za sigurnost:
- Držite se zvaničnih prodavnica aplikacija, ne koristite prodavnice trećih strana i nikada ne menjajte bezbednosna podešavanja uređaja da biste omogućili učitavanje aplikacije.
- Proverite programera u opisu aplikacije - da li je to neko koga biste želeli u svom životu? I proverite recenzije, da li izgledaju legitimno ili uzgajano?
- Nemojte davati dozvole aplikaciji koje joj ne bi trebale: baklje i aplikacije za gledanje u zvezde ne trebaju pristup vašim kontaktima i telefonu. I nikada ne dajte dozvole za pristupačnost koje olakšavaju kontrolu uređaja osim ako nemate potrebu.
- Jednom mesečno skenirajte telefon i izbrišite nekoliko aplikacija koje vam više nisu potrebne ili koje niste dugo koristili.
- Nemojte instalirati aplikacije koje se povezuju sa uspostavljenim aplikacijama kao što je WhatsApp osim ako ne znate da su legitimne, proverite recenzije i pisanje na mreži.
Da bismo zaokružili nedeljnu zabrinutost zbog malvera, Zimperiumov izveštaj o globalnim pretnjama za mobilne uređaje za 2024. je upravo objavljen i čini ga potpunim čitanjem. „Sa svojom širokom dostupnošću i ogromnim razmerama, zlonamerni softver je postao oružje izbora za skoro svakog sajber kriminalca. Malver za mobilne uređaje se brzo širi i u velikoj meri ometa sisteme, sa milionima jedinstvenih varijanti i novim zlonamernim aplikacijama koje se pojavljuju svakodnevno.”
I dok su Play Protect i druga odbrana Android-a značajno napredovala poslednjih godina, pejzaž pretnji se brzo razvija. „Istraživači Zimperijuma analizirali su preko 859 hiljada uzoraka malvera otkrivenih u divljini. U proseku, to je jednako preko 16.500 novih uzoraka zlonamernog softvera nedeljno. Zanimljivo je da je 72% uzoraka zlonamernog softvera bilo potpuno nepoznato u vreme otkrivanja.
Jasno je da ovo pokriva nove porodice, ali je verovatnije ponavljanje postojećih pretnji, gde nova početna primamljivost i zamagljivanje produžavaju život osnovnog malvera. U izveštaju nema pravih iznenađenja, zbog čega je još važnije da korisnici poštuju gorenavedena pravila dobre higijene, posebno kada odlaze svojim telefonima na svoja radna mesta i povezuju se na sisteme preduzeća.
Statistika je strašna i „suprotna percepciji“, upozorava Zimperium, „prodavnice aplikacija nisu odgovorne za sprečavanje svake zlonamerne aplikacije da uđe ili zaštitu aplikacija od zloupotrebe. Sa više od 300 javnih prodavnica aplikacija, 1.300 proizvođača uređaja i stalnim ažuriranjima OS-a, stavovi rizika mobilnih uređaja preduzeća postaju veoma dinamični.
Pošto tako mali broj preduzeća daje prioritet bezbednosti mobilnih aplikacija i uređaja, ovo postaje površina izbora. Prepoznajući ove ranjivosti, napadači su usvojili strategiju napada „prvo mobilno“, jer mobilni uređaji predstavljaju veliku, neobezbeđenu i neupravljanu površinu napada za ulazak u mrežu i korporativne podatke.
Međutim, dobra vest za Android korisnike koji se čvrsto drže Play Store-a je to što nije iznenađujuće da se rizici eksponencijalno povećavaju pri bočnom učitavanju. Malo je iznenađenje da Google, Samsung i drugi konačno ograničavaju pristup prodavnici aplikacija trećih strana i direktne instalacije, dok je kišobran Play Protect proširen da pokrije aplikacije iz bilo kog izvora, a nova detekcija pretnji uživo na Android-u 15 bi to trebalo da odvede dalje kada počne da stiže do uređaja kasnije ove godine.
„Naše istraživanje,“ kaže Zimperium, „ukazuje da globalno, korisnici koji se bave bočnim učitavanjem imaju 200% veću verovatnoću da će na svojim uređajima pokrenuti malver od onih koji to ne rade. U stvari, bočno učitavanje je veliki doprinos riziku od malvera; u 8,3% slučajeva u kojima je otkriven zlonamerni softver, izvor se može pratiti do aplikacije sa strane... U najtežim slučajevima, aplikacije sa bočnim učitavanjem mogu dovesti do potpunog kompromitovanja mobilnog uređaja, dajući daljinskim napadačima potpunu kontrolu.”
Zimperium poziva Verizonov Izveštaj o istragama kršenja podataka (DBIR) za ove godine koji upozorava da su „mobilni uređaji najbrže rastući vektor napada, pri čemu je detekcija malvera na mobilnom uređaju porasla za 51% u odnosu na prethodnu godinu“.
Takođe više puta naglašava trojanski (druge vrste) rizik preduzeća sa zaposlenima koji unose uređaje koji su možda ili nisu bili u potpunosti obezbeđeni, i imaju visok rizik od nošenja malvera unutar korporativnog štita. „Skoro 67% zaposlenih koristi lične uređaje za posao, bez obzira na to da li njihova kompanija ima formalnu politiku „donesi svoj uređaj“ (BIOD). Alarmantno, 70% preduzeća ne uspeva da adekvatno obezbedi lične uređaje koji se koriste u radne svrhe. Ovaj nedostatak sigurnosti verovatno povećava stvarni rizik, ojačavajući uverenje 55% profesionalaca da su pametni telefoni najizloženije krajnje tačke u njihovoj organizaciji.
Opet, izveštaj Zimperium-a naglašava dodatne rizike u okviru Android ekosistema, s obzirom na rasprostranjenost bočnog učitavanja, mešavinu OEM-a, labaviju kontrolu nad dozvolama (iako se to menja) i mnogo veći procenat uređaja koji su ostali bez podrške. Sve je postavljeno protiv pogoršanja pretnje.
„Kada su u pitanju ranjivosti platforme, 2023. je bila svedok porasta identifikovanih uobičajenih ranjivosti i izloženosti (CVE) među Android i iOS-om. Istraživački tim zLabs-a je otkrio 1.421 CVE u testiranim Android uređajima, što predstavlja povećanje od 58% u odnosu na 2022. Šesnaest od ovih ranjivosti je iskorišćavano u divljini, što znači da su iskorišćene u stvarnom svetu, a ne u testnim okruženjima. Na testiranim iOS uređajima zabeleženo je 269 CVE-ova, što predstavlja povećanje od 10%, od kojih je 20 eksploatisano u divljini.