Dziurawy Android, fragmentacja i mądry wirus

Ponad milion urządzeń z Androidem zostało zainfekowanych wirusem, który uzyskuje tokeny i hasła do najpopularniejszych usług Google. Wykorzystuje on luki w zabezpieczeniach starszych systemów Google. Takim newsem podzieliła się amerykańska firma Check Point Software, która stworzyła także narzędzie do sprawdzenia, czy twoje konto należy do nieszczęsnego miliona. Złośliwe oprogramowanie ma atakować dziennie 13 000 urządzeń działających pod kontrolą zielonego robota.

gooligan1

Wirus zwany Gooligan infekuje urządzenia z systemami od Jelly Bean poprzez KitKat na Lollipopie kończąc. Gdyby aktualizacje Androida wyglądały inaczej, to pewnie nikt by się tym nawet nie przejął, zwłaszcza, że w Marshmallow i Nougat dziura w zabezpieczeniach jest już załatana, ale niestety, fragmentacja systemu Google jest na takim poziomie, że zagrożone jest prawie 75% urządzeń będących aktualnie w użytku. Gooligan stał się bardzo dobrym argumentem do narzekania na opieszałość w aktualizacjach systemu przez producentów. Jest też prztyczkiem w nos dla Mountain View, które do tej pory wydaje się nie przejmować, że z ostatnich 5 wersji ich mobilnego systemu 3 najstarsze stanowią prawie ¾ całości, a udział najnowszej jest wręcz śladowy.

Pomimo błędnych informacji na niektórych stronach, wirus nie naraża końcowego użytkownika na dodatkowe koszta związane z jego działalnością. Co jest jeszcze ciekawsze, według niektórych źródeł nie wysyła on także danych do atakującego. Co w takim razie robi? Coś znacznie mądrzejszego. Wirus ściąga użytkownikowi konkretne, wybrane przez twórców malware aplikacje, którym następnie wystawia najwyższą możliwą ocenę w Google Play.  Nie muszę chyba mówić, jaki wpływ ma milion głosów na ostateczną ocenę aplikacji w rankingu?

Gdzie w tej całej układance są pieniądze?

Nie będzie tajemnicą to, że złośliwe oprogramowanie dzisiejszych czasów musi na siebie zarabiać. Hakerzy, którzy łamali systemy dlatego, że mogli, minęły bezpowrotnie. Jeżeli gdzieś widzimy atak, który nie ma większego sensu, to znaczy jedynie, że nie widzimy głębszego celu, który coraz częściej nie jest oczywisty. Tym razem jestem pod wrażeniem pomysłowości atakujących.

Deweloperzy oferujący darmowe aplikacje w Google Play zarabiają na dwóch rzeczach: zakupach wewnątrz aplikacji oraz na wyświetlanych reklamach. Oprogramowanie instaluje Adware, który pozwala na zarabianie na wyświetlaniu reklam. W ten sposób twórcy złośliwego oprogramowania zarobili pieniądze pośrednio. Nie musieli bawić się w hakowanie kart kredytowych podpiętych do kont użytkowników sklepu z aplikacjami. Pieniądze dostali (teoretycznie legalnie) od reklamodawców za wykonaną „pracę”. Gdyby tylko osoba, która to wymyśliła przekierowała swoją kreatywność na coś legalnego…

gooligan2

Na koniec kilka słów uspokojenia: Gooligan najczęściej przekazywany jest przez aplikacje instalowanie poprzez instalację aplikacji third-party, co oznacza z kolei, że musimy zaznaczyć w ustawieniach możliwość instalacji aplikacji z nieznanego źródła. Najwięcej zainfekowanych urządzeń wykryto w  Azji, gdzie aplikacje niedostępne przez Google Play są bardzo popularne. W Europie znajduje się tylko 9% ze wspomnianego miliona zhakowancyh kont.

źródło: CheckPoint, Wired

grafika: Roonby