נחשף קוד זדוני הלומד לעקוף מנגנוני חסימה של חנות גוגל פליי
מאת:
מערכת Telecom News, 1.9.16, 16:41
התגלה טרויאני לאנדרואיד בשם "גרילה", שמנסה להתגבר על מנגנוני חסימת ההונאות של חנות גוגל פליי. מה עושים?
מומחי מעבדת קספרסקי גילו טרויאני לאנדרואיד בשם "גרילה", שמנסה להתגבר על מנגנוני חסימת ההונאות של חנות גוגל פליי. הוא משתמש באפליקציית קצה עבריינית המתנהגת כאילו יש אדם אמיתי מאחוריה. אפליקציה מזויפת זו מאפשרת לתוקפים, באמצעות מכשירים נגועים, לבצע קמפיינים פרסומיים מפוקפקים במטרה להוריד, להתקין, לדרג ולהגיב על אפליקציות ניידות הנמצאות בגוגל פליי. הקוד הזדוני מסוגל לעקוף את המנגנונים רק ממכשירים פרוצים (
rooted).
כפלטפורמה עבור מיליוני משתמשים ומפתחי תוכנה,
Goole Play היא מטרה אטרקטיבית עבור עברייני סייבר. בין היתר, עברייני סייבר משתמשים בחנות גוגל פליי כדי לערוך קמפיינים המכונים
Shaubang, שנפוצים במיוחד בסין. אלו הן פעילויות קידום מזויפות, שנועדו לקדם אפליקציות לגיטימיות באמצעות מתן דירוגים גבוהים, הגברת קצב ההורדות ופרסום תגובות חיוביות אודותיהן בגוגל פליי.
האפליקציות, שמשמשות כדי לערוץ קמפיינים פרסומיים כאלה, בדרך כלל אינן מהוות איום "רגיל" לבעלים של המכשיר הנגוע, בשונה מתוכנות לגניבת נתונים או כסף, אבל הן עדיין יכולות לפגוע: היכולת להוריד אפליקציות נוספות אל המכשיר הנגוע גוררת חיובים נוספים של תעבורת אינטרנט, ובמקרים מיוחדים אפליקציות
Shabang מסוגלות להתקין תוכנות בתשלום בחשאי, לצד תוכנות חינמיות, באמצעות שימוש בפרטי כרטיס האשראי הקשור לחשבון הגוגל פליי של הקורבן.
כדי לערוך קמפיינים אלה, העבריינים יוצרים מספר חשבונות גוגל פליי מזויפים או מדביקים מכשירים בקוד זדוני מיוחד, שמבצע פעולות בגוגל פליי באופן סמוי בהתבסס על פקודות המתקבלות מהאקרים. למרות שלגוגל פליי יש מנגנוני הגנה חזקים, שמסייעים לזהות ולחסום משתמשים מזויפים וכדי למנוע פעולות הונאה, נראה, שהכותבים של הטרויאני "גרילה" עשו מאמצים להתגבר עליהם.
הטרויאני חודר למכשיר המטרה באמצעות ה-
rootkit Leech – קוד זדוני המעניק לתוקף הרשאות למכשיר הנגוע. הרשאות אלו מעניקות לתוקף גישה בלתי מוגבלת לטפל בנתונים במכשיר. בין היתר, הוא מעניק לו גישה אל שם המשתמש, סיסמאות וטוקן של אימות, שנדרשים כדי לבצע תקשורת של אפליקציה עם השירותים הרשמיים של גוגל. פרטים אלה אינם נגישים עבור אפליקציות רגילות במכשירים שלא נפרצו (
rooted). לאחר התקנה, הטרויאני "גרילה" משתמש בנתונים אלה כדי לתקשר עם החנות של גוגל כאילו היה אפליקציה אמתית בגוגל פליי.
העבריינים זהירים מאוד: הם זהירים מספיק כדי להשתמש בנתוני אימות של משתמשים אמיתיים, והם גם גרמו לבקשות מאפליקציות קצה מזויפות אל גוגל פליי, להיראות כמו בקשות הנוצרות באפליקציות אמתיות.
דבר חריג נוסף בטרויאני זה הוא, שכותבי הקוד ניסו לחקות את הדרך בה משתמש אמיתי פועל בחנות. לדוגמא, לפני שהוא מבקש עמוד בו נמצאת אפליקציה מסוימת הוא מבצע חיפוש אחר האפליקציה, בדיוק כמו שיעשה משתמש אנושי כאשר הוא מנסה לאתר אפליקציה.
"גרילה" היא לא האפליקציה הזדונית הראשונה המנסה לפעול בגוגל פליי, אבל היא עושה זאת בדרך די מתוחכמת שלא ראינו לפני כן.
החשיבה מאחורי השיטה ברורה: גוגל יכולה כנראה לזהות בקלות בקשות אל גוגל פליי המגיעות מרובוטים – רוב הקוד הזדוני מסוג
,Shaubang שאנו מכיריםת פשוט שולח באופן אוטומטי בקשות עבור עמוד מסוים של אפליקציה. זה לא משהו שמשתמש אנושי יעשה, ולכן קל לגוגל לזהות כי הבקשה אינה באמת ממשתמש מורשה. קשה בהרבה לזהות קוד זדוני המחפש אחר אפליקציה לפני שהוא ניגש לעמוד שלה. חשוב לציין, שקוד זדוני זה מסוגל לפעול רק מול מנגנוני גוגל פליי מתוך מכשירים פרוצים, דבר שמזכיר פעם נוספת, שחשוב להימנע משימוש בסמארטפונים וטאבלטים פרוצים מבוססי אנדרואיד.
כדי להגן על המכשיר הנייד מפני הקוד הזדוני הפוגע במכשירי אנדרואיד, מומלץ:
להימנע מהתקנת אפליקציות ממקורות, שאינם חנות אפליקציות רשמית.
להשתמש בפתרון הגנה מוכח כדי להגן על מכשיר האנדרואיד מפני קוד זדוני ואיומי סייבר אחרים.
לא לפרוץ את המכשיר.
מוצרי מעבדת קספרסקי מזהים את הקוד הזדוני "גרילה" כ: Trojan.AndroidOS.Guerrilla.a.
הדו"ח המלא -
כאן.