Google "čisti" Android, pa će Google Play kakav znamo, otvoren za sve, postati "zatvoreniji" , a Play Protect će uskoro biti poboljšan pomoću detekcije pretnji uživo na Android-u 15. Sve ovo ima za cilj da zatvori jaz u odnosu na iOS i zaključani iPhone ekosistem.
Ali i dalje vidimo česta upozorenja za korisnike da i dalje postoje veoma ozbiljni rizici. I to je svakako bio slučaj ove nedelje, sa dva odvojena bezbednosna izveštaja. Prvo je Kaspery upozorio na rizike od „modifikovanih verzija Spotify, WhatsApp, Minecraft i drugih aplikacija sa Google Play-a“.
Istraživači ponovo ističu opasnosti od Necro trojanca, o kojima je prvi put objavljeno 2019. godine, kada su „otkrili trojanca u CamScanner-u, aplikaciji za prepoznavanje teksta, koja je imala preko 100 miliona preuzimanja na Google Play-u. Sada su „nekromanseri“ ubrizgali novu krv u stari trojanac: pronađena je verzija bogatija funkcijama kako u popularnim aplikacijama na Google Play-u, tako i u raznim modovima aplikacija na nezvaničnim sajtovima.
Kaspersky kaže da je pronašao trojanac na Spotify modu koji se distribuira van Play Store-a, ali se takođe krio u Wuta Camera, koji je „pronašao put na Google Play, odakle je aplikacija preuzeta više od 10 miliona puta“.
Savet je jednostavan. Ne instalirajte sadržaj sa prodavnica trećih strana, a recite ne modovima za popularne aplikacije iz nezvaničnih izvora. Aplikacije na Google Play-u i drugim zvaničnim platformama takođe treba tretirati sa zdravom dozom skepticizma. Čak se i popularna aplikacija poput Wuta Camera, sa 10 miliona preuzimanja, pokazala nemoćnom pred Necro-om.
Trojanac je evoluirao i njegovo zamagljivanje je daleko uznapredovalo u odnosu na njegove ranije iteracije. Međutim, njegova namera ostaje ista: „Učitajte i pokrenite sve DEX datoteke, instalirajte preuzete aplikacije, tunelirajte kroz uređaj žrtve, pa čak i - potencijalno - skinite plaćene pretplate. Pored toga, mogu da prikazuju i komuniciraju sa oglasima u nevidljivim prozorima, kao i da otvaraju proizvoljne veze i pokreću bilo koji JavaScript kod.”
Drugo upozorenje dolazi od kompanije Cleafy, koji upozorava da je u junu „identifikovao neklasifikovani Android bankovni trojanac, varijantu TrickMo-a, iako sa novougrađenim mehanizmima protiv analize.
TrickMo je evolucija zloglasnog TrickBot-a, opet sa naprednijim prikrivanjem i proaktivnim maskiranjem od analize do ometanja otkrivanja. TrickMo je prvi put identifikovan još 2019. godine, i tako ponovo vidimo zajednički obrazac, kako ove pretnje evoluiraju i jačaju kako se stalna igra mačke i miša nastavlja, dok se različite odbrane postavljene oko telefona i prodavnica poboljšavaju.
TrickMo-ova "torba trikova" je impresivno kompletna i uključuje:
- Presretanje jednokratnih lozinki (OTP)
- Snimanje ekrana i Keylogging
- Mogućnosti daljinskog upravljanja
- Zloupotreba usluge pristupačnosti
- Napredne tehnike zamagljivanja
- Mehanizmi protiv analize
Zasigurno - nije nešto što želite na svom telefonu. Ovaj zlonamerni softver se distribuira putem lažnog ažuriranja Chrome pretraživača, ali onog koji kada se instalira, od korisnika traži „poruku upozorenja koja poziva korisnike da ažuriraju Google Play usluge“.
Prema Cleafy, „nova aplikacija je lažno nazvana „Google usluge“ i predstavlja se kao legitimna instanca Google Play usluga. Nakon pokretanja, aplikacija prikazuje prozor koji traži od korisnika da omogući usluge pristupačnosti za aplikaciju." Ovaj inženjering - prikrivanje zlonamernog softvera iza pouzdanih imena - nije iznenađujuće efikasan.
Zajednička nit ovde je jasna. Ne verujte modovima ili ažuriranjima ili čak početnim instalacijama popularnih aplikacija iz bilo čega osim zvaničnih prodavnica. Ne nasedajte na nezvanične modove iz bilo čega drugog osim izvora. Pa čak i obratite pažnju na zvanične instalacije za trivijalne aplikacije nepoznatih programera.
Kao odgovor na nove izveštaje, portparol Google-a mi je rekao da su „sve zlonamerne verzije aplikacija identifikovane u ovom izveštaju uklonjene sa Google Play-a pre objavljivanja izveštaja. Korisnici Android-a su automatski zaštićeni od poznatih verzija ovog malvera pomoću Google Play Protect-a, koji je podrazumevano uključen na Android uređajima sa Google Play uslugama. Google Play zaštita može da upozori korisnike ili blokira aplikacije za koje se zna da pokazuju zlonamerno ponašanje, čak i kada te aplikacije potiču iz izvora izvan Play-a.
Google je uverio da će Play Protect braniti korisnike i od Necro-a i od TrickMo-a. Zaista je neophodno da korisnici osiguraju da je Play Protect omogućen na uređajima; kada se pretnje potvrde, to će vas odbraniti od zaraze u svim budućim slučajevima.
Govoreći o novim pretnjama, upravo je objavljen treći izveštaj o novom Android malveru za kratko vreme. Ponovo, nastavljajući temu, ThreatFabric upozorava da nova Octo varijanta cilja na korisnike, dok se „maskira u aplikacije Google Chrome, NordVPN i Enterprise Europe Network“.
Sam Octo, deo porodice Exobot, je toliko dobro uspostavljen da istraživači upozoravaju da bi „otkriće nove verzije, nazvane 'Octo2' od strane njenog tvorca, potencijalno moglo da promeni pejzaž pretnji i Modus Operandi aktera koji stoje iza njega .”
Opet, nastavljajući sa temom, ovo je slučaj malvera u razvoju, a ne potpuno nove pretnje. „Prvi uzorci familije zlonamernog softvera Exobot viđeni su 2016. U to vreme, to je bio bankarski trojanac koji je mogao da izvrši napade sa preklapanjem i da kontroliše pozive, SMS i push obaveštenja.“ Evolucija od Exobota do „ExobotCompact“ (oktobar) došla je tri godine kasnije, 2019.
ThreatFabric kaže da je otkrio Octo aktivnost kroz kampanje Malvare-as-a-Service čak u „Evropi, SAD, Kanadi, Bliskom istoku, Singapuru i Australiji“. Iznajmljivanje zlonamernog softvera radi na ubrzanju njegovog širenja, koristeći više drugih aktera pretnji i potreban hardver i prikrivanje. Očekuje se da će nova varijanta zlonamernog softvera, Octo2, neprimetno zameniti svog prethodnika i tako iskoristiti uspostavljene kanale za tržište.
Istraživači kažu da „podešavanja Octo2 sadrže tragove više aplikacija i aplikacija koje su na radaru aktera… To znači da kada Octo2 otkrije push obaveštenje iz jedne od aplikacija na listi, presreće ga i neće ga pokazati žrtvi . Prisustvo aplikacije na listi znači da je od interesa za sajber kriminalce i da se već spremaju da napadnu njene korisnike.
Octo2 koristi lažno „Google“ iskačuće obaveštenje da bi prevario Android korisnike da zaobiđu ograničenja uređaja kako bi omogućili pokretanje malvera. Nije iznenađujuće da su materijalne promene napravljene u ovoj najnovijoj iteraciji – ali namera ostaje da se ukradu bankarski akreditivi specifični za aplikaciju putem ciljanih kampanja.
„Pojava Octo2 varijante signalizira buduće izazove za sigurnost mobilnog bankarstva, jer njegove poboljšane mogućnosti i šira upotreba predstavljaju značajne rizike… Octo2 se nadograđuje na [svojim] temeljima sa još snažnijim mogućnostima daljinskog pristupa i sofisticiranim tehnikama zamagljivanja. To otežava bezbednosnim sistemima da ga otkriju i uklone, povećavajući dugovečnost i potencijalni uticaj malvera.“
Octo se možda menja, ali saveti za korisnike ostaju isti; evo osveženja o drugim zlatnim pravilima za sigurnost:
- Držite se zvaničnih prodavnica aplikacija, ne koristite prodavnice trećih strana i nikada ne menjajte bezbednosna podešavanja uređaja da biste omogućili učitavanje aplikacije.
- Proverite programera u opisu aplikacije - proverite recenzije, da li izgledaju legitimno ili fabrikovano?
- Nemojte davati dozvole aplikaciji koje joj ne bi trebale: aplikacije za gledanje u zvezde ne trebaju pristup vašim kontaktima i telefonu. I nikada ne dajte dozvole za pristupačnost koje olakšavaju kontrolu uređaja osim ako nemate potrebu.
- Jednom mesečno skenirajte telefon i izbrišite nekoliko aplikacija koje vam više nisu potrebne ili koje niste dugo koristili.
- Nemojte instalirati aplikacije koje se povezuju sa uspostavljenim aplikacijama kao što je WhatsApp osim ako ne znate da su legitimne, proverite recenzije i pisanje na mreži.
Da bismo zaokružili nedeljnu zabrinutost zbog malvera, Zimperiumov izveštaj o globalnim pretnjama za mobilne uređaje za 2024. je upravo objavljen.
„Sa svojom širokom dostupnošću i ogromnim razmerama, zlonamerni softver je postao oružje izbora za skoro svakog sajber kriminalca. Malver za mobilne uređaje se brzo širi i u velikoj meri ometa sisteme, sa milionima jedinstvenih varijanti i novim zlonamernim aplikacijama koje se pojavljuju svakodnevno.”
I dok su Play Protect i druga odbrana Android-a značajno napredovala poslednjih godina, pejzaž pretnji se brzo razvija. „Istraživači Zimperijuma analizirali su preko 859 hiljada uzoraka malvera otkrivenih "u divljini". U proseku, to je jednako preko 16.500 novih uzoraka zlonamernog softvera nedeljno. Zanimljivo je da je 72% uzoraka zlonamernog softvera bilo potpuno nepoznato u vreme otkrivanja.
U izveštaju nema pravih iznenađenja, zbog čega je još važnije da korisnici poštuju gorenavedena pravila "dobre higijene", posebno kada odlaze na svoja radna mesta i povezuju se na sisteme preduzeća.
"Prodavnice aplikacija nisu odgovorne za sprečavanje svake zlonamerne aplikacije da uđe ili zaštitu aplikacija od zloupotrebe. Sa više od 300 javnih prodavnica aplikacija, 1.300 proizvođača uređaja i stalnim ažuriranjima OS-a, rizici na mobilnim uređajimaa preduzeća postaju veoma dinamični" - piše u izveštaju.
Pošto tako mali broj preduzeća daje prioritet bezbednosti mobilnih aplikacija i uređaja, ovo postaje sve veći problem. Prepoznajući ove ranjivosti, napadači su usvojili strategiju napada „prvo mobilno“, jer mobilni uređaji predstavljaju veliku, neobezbeđenu i neupravljanu površinu napada za ulazak u mrežu i korporativne podatke.
Međutim, dobra vest za Android korisnike koji se čvrsto drže Play Store-a: Google, Samsung i drugi konačno ograničavaju pristup prodavnici aplikacija trećih strana i direktne instalacije, dok je "kišobran" Play Protecta proširen da pokrije aplikacije iz bilo kog izvora, a nova detekcija pretnji uživo na Android-u 15 bi to trebalo da odvede dalje kada počne da stiže do uređaja kasnije ove godine.
Opet, izveštaj Zimperium-a naglašava dodatne rizike u okviru Android ekosistema, koji ima "labaviju" kontrolu nad dozvolama:
„Kada su u pitanju ranjivosti platforme, 2023. je bila svedok porasta identifikovanih uobičajenih ranjivosti i izloženosti (CVE) među Android i iOS-om. Istraživački tim zLabs-a je otkrio 1.421 CVE u testiranim Android uređajima, što predstavlja povećanje od 58% u odnosu na 2022. Šesnaest od ovih ranjivosti je iskorišćavano u divljini, što znači da su iskorišćene u stvarnom svetu, a ne u testnim okruženjima. Na testiranim iOS uređajima zabeleženo je 269 CVE-ova, što predstavlja povećanje od 10%, od kojih je 20 eksploatisano u divljini" - zaključuje se.