Strůjci útoků jsou vytrvalí: nezastavila je ani policie
Aplikace obsahující malware využívaly taktiku sociálního inženýrství. Cílem bylo přimět uživatele k poskytnutí citlivých informací a udělení širších oprávnění mobilním aplikacím. To je samozřejmě průhledná záminka k dalšímu vydírání, obtěžování i finančním ztrátám.
Bezpečnostní experti identifikovali celkem 15 aplikací, které obsahovaly spyware označený názvem SpyLoan. Související kampaň mířila především na uživatele z regionů Jižní Ameriky, jihovýchodní Asie a Afriky. To sice byly primární cíle, nicméně varování nelze brát na lehkou váhu. Nikde není řečeno, že další kampaň nezaútočí na Evropu.
V této souvislosti je alarmující i skutečnost, že ani nedávné akce policie proti provozovatelům SpyLoan jejich aktivity nezastavily.
SpyLoan útočí nejčastěji zabalen v aplikacích, které mají finanční charakter, a lákají uživatele na rychlé a flexibilní půjčky. Ve skutečnosti ale žádnou přidanou hodnotu nemají a jejich cílem je pouze shromažďovat citlivé informace.
Škodlivý kód SpyLoan: jak kyberškůdci postupují
Při troše pozornosti lze ale rizikům předejít. Pokud byste si z jakéhokoliv důvodu některou z dotčených aplikací stáhli, typickým projevem je výzva k poskytnutí osobních údajů z dokladu totožnosti anebo bankovních informací. Aplikace také vyžadují rozsáhlá povolení.
Jde především o povolení k přístupu ke kontaktům, textovým zprávám, fotoaparátu, protokolu hovorů nebo poloze. Aktéři útoků poté tyto informace zneužívají k vydírání obětí.
To probíhá formou výhrůžek splácení půjček s enormními úroky, telefonáty, ale také zprávami. Experti z McAfee se také zmiňují o metodách tzv. "sextorsion" – v tomto případě jde o výhrůžky zveřejněním nahých fotek nebo videí.
Jak se můžete před malwarem chránit?
Tento případ je další ukázkou komplikací při snaze Googlu udržet aplikační platformu Obchod Play bez škodlivých nabídek. Provozovatel integroval ochranu Play Protect, která funguje na bázi antivirového skeneru, sice už před časem. Jak je ale vidět, stále se objevují případy, kdy se míjí účinkem.
Androidová firma si to uvědomuje a zdá se, že její vývojáři pracují na nové funkci. V budoucnu by měla uživatele varovat v případech, pokud v konkrétní aplikaci bude k dispozici jen málo dat, nebo je často odstraňována. To může být příznakem obsahu škodlivého kódu.
Nicméně rozhodování máte ve svých rukou. Buďte obezřetní při instalaci nových aplikací, věnujte čas recenzím, opatrně také v případech, kdy aplikaci provází rozsáhlý marketing na sociálních sítích. Když už byste si z nějakého důvodu některou z dotčených appek instalovali, vodítkem mohou být žádosti o rozsáhlá oprávnění. V takovém případě rychle ruce pryč. Také se ujistěte, zda máte ochranu Google Play Protect na svém zařízení aktivní.
Dobrou zprávou nakonec je, že detekované škodlivé aplikace už byly z Obchodu Google odstraněny. Malware SpyLoan prozatím není v Evropě příliš rozšířený, ale nepodceňujme jeho rizika. Pamatujme na to, že se pohybujeme v globálním prostředí a pokud nyní aktéři cílí na od nás vzdálené regiony, vůbec to neznamená, že se do jejich hledáčku příště nedostane Evropa.
Pokud by vás zajímal přehled všech patnácti aplikací s malwaem SpyLoan, najdete jej v příspěvku serveru The Hacker News viz odkaz níže.
Zdroj: Bleeping Computer, The Hacker News