Badacze firmy Sophos zidentyfikowali nowy rodzaj ataku na użytkowników urządzeń z Android. Chodzi o Spyware, czyli złośliwe wersje aplikacji, które mogą szpiegować i przechwytywać dane z urządzeń mobilnych. W tym celu cyberprzestępcy stworzyli fałszywe wersje m.in. oficjalnej aplikacji rządowej Pakistanu, aplikacji ubezpieczeniowej oraz porównywarki cen operatorów telefonicznych.
Zakładam, że nikt inteligentny nie powinien pobierać aplikacji mobilnej z innego źródła niż App Store czy Google Play. No, ale jak widać na przykładzie Pakistanu, poziom wiedzy na temat cyberbezpieczeństwa nie tylko w Polsce pozostawia wiele do życzenia. Akurat w Pakistanie cyberprzestępcy stworzyli fałszywą wersję aplikacji rządowej. Nie wiem, jakim technologicznym ignorantem trzeba być, by dać się na to złapać i pobrać fałszywą apkę z fałszywej strony czy też linku. Życie jednak pokazuje, że można. W każdym razie eksperci z Sophos, którzy jako pierwsi odkryli ten proceder apelują, by uważać, bo tego typu akcje mogą być powielone na całym świecie.
Spyware Android – jak to działa?
Fałszywe aplikacje są identyczne, jak ich legalne odpowiedniki dostępne w Google Play. Umożliwiają też korzystanie z tych samych funkcji. Jak to zrobili więc w Pakistanie? Cyberprzestępcy wybrali pięć aplikacji: oficjalną apkę rządową Pakistan Citizen Portal, muzułmański zegar modlitewny, aplikację do porównywania ofert operatorów telefonicznych, narzędzie do sprawdzania ważności kart SIM oraz rozwiązanie firmy ubezpieczeniowej.
Po zainstalowaniu fałszywej aplikacji, czyli złośliwego oprogramowania typu spyware, przechwytuje one unikalny identyfikator IMEI urządzenia, informacje o lokalizacji, pełną listę kontaktów, treść wiadomości tekstowych, zestawienie połączeń czy katalogi karty SD. Aplikacja Pakistan Citizen Portal skłania też użytkowników do podania swojego numeru dowodu osobistego, danych paszportowych, haseł do Facebooka i innych serwisów. Niektóre ze sfałszowanych aplikacji zawierają mechanizm umożliwiający nagrywanie rozmów telefonicznych i dźwięków rejestrowanych przez urządzenie. Funkcje te nie zostały jednak jeszcze aktywowane przez przestępców.
Nie pobieraj aplikacji z innych źródeł niż Google Play czy App Store
Fałszywe wersje aplikacji nie są dostępne w oficjalnym sklepie Google Play, ale na stronach imitujących m.in. pakistański serwis rządowy. Użytkownicy mogli otrzymać linki z instrukcją pobrania programów m.in. SMS-em lub mailem. Cyberprzestępcy szyfrują przy tym stworzony przez siebie kod, instalowana aplikacja nie jest więc identyfikowana jako złośliwa podczas wstępnego skanowania przez urządzenie.
Odkryte programy szpiegujące to sygnał ostrzegawczy dla użytkowników nie tylko w Pakistanie, ale i na całym świecie. Przestępcy coraz częściej przeprowadzają bowiem ataki na telefony komórkowe, aby przechwycić wrażliwe dane i uzyskać dostęp w czasie rzeczywistym do lokalizacji zainfekowanego urządzenia, a nawet rozmów odbywających się w jego zasięgu.
Jak tłumaczy przedstawiciel Sophos, „Każdy, kto korzysta z telefonu komórkowego, powinien pamiętać o podstawowych zasadach ochrony: nieklikaniu w linki otrzymywane mailem czy SMS-em i pobieraniu aplikacji tylko z oficjalnych źródeł. Ważne jest także zwracanie uwagi na uprawnienia, o które prosi instalowany program. Jeśli zegar czy porównywarka ofert żąda dostępu do wiadomości, listy kontaktów czy zdjęć, powinno to wzbudzić czujność. Warto też rozważyć instalację na urządzeniu mobilnym programu antywirusowego, który będzie chronił dane przed podobnymi zagrożeniami – wskazuje Łukasz Formas, kierownik zespołu inżynierów w firmie Sophos.
Czemu piszę głównie o Android? Po pierwsze zdiagnozowany incydent dotyczył tego systemu operacyjnego, po drugie to najpopularniejszy system operacyjny na urządzenia mobilne, a po trzecie Apple nieco lepiej sobie radzi ze złośliwymi aplikacjami i z moich rozmów z przedstawicielami firm zajmujących się cyberbezpieczeństwem wynika, że często hakerzy odpuszczają sobie urządzenia Apple. Ale wiecie – pewności nigdy nie ma. Zatem uważajcie na to, co pobieracie, bo licho nie śpi. A jak wskazują statystyki, w okresie pandemii kilkukrotnie wzrosła liczba ataków hakerskich – głównie właśnie malware i phishing.