„`html
Ostrzeżenie ekspertów CERT Polska: Niebezpieczne oprogramowanie w aplikacji „Aparat kosmetyczny”
Specjaliści z zespołu CERT Polska wykazali, że popularna aplikacja „Aparat kosmetyczny”, notująca ponad 100 tysięcy pobrań, zawiera złośliwe oprogramowanie. Jej ostatnia aktualizacja miała miejsce 17 września 2024 roku. Aplikacja, która z założenia miała służyć do poprawiania jakości zdjęć, w rzeczywistości stanowi poważne zagrożenie dla bezpieczeństwa użytkowników.
Wyrafinowane techniki ukrywania złośliwego oprogramowania
Analiza CERT Polska ujawniła, że złośliwe oprogramowanie wykorzystuje natywną bibliotekę libphotoset.so do deszyfrowania i wykonania szkodliwego kodu. Zewnętrzny serwer dostarcza zaszyfrowane dane, które są następnie przetwarzane bez wiedzy użytkownika. Taki sposób działania pozwala aplikacji na omijanie systemów bezpieczeństwa Google Play.
Automatyzacja nieautoryzowanych subskrypcji
Malware o nazwie Joker charakteryzuje się zdolnością do aktywowania płatnych subskrypcji bez interakcji ze strony użytkownika. Ten mechanizm jest niezwykle perfidny, gdyż wykorzystuje interfejs WebView i skrypty JavaScript do samodzielnego przeprowadzenia procesu subskrypcji.
Proces identyfikacji i subskrypcji
- Program identyfikuje kraj i operatora sieci mobilnej użytkownika za pomocą kodów MCC i MNC.
- Wykorzystuje klasę TelephonyManager do uzyskania niezbędnych informacji.
- Przechwytuje wiadomości SMS niezbędne do potwierdzenia płatnych usług.
- Automatycznie pobiera kody weryfikacyjne i wykorzystuje je do finalizacji subskrypcji.
Mechanizmy ochrony przed wykryciem
Program zabezpiecza swoją komunikację z serwerami sterującymi za pomocą własnych, zaawansowanych metod szyfrowania. Dodatkowo stosuje techniki obfuskacji kodu, które znacząco utrudniają jego analizę przez oprogramowanie antywirusowe. Aplikacja manipuluje także połączeniami sieciowymi, wykorzystując technikę requestNetwork z klasy ConnectivityManager, co umożliwia korzystanie z danych komórkowych, nawet przy połączeniu z siecią Wi-Fi.
Zidentyfikowane zagrożenia i rekomendacje
- Przechwytywanie i automatyczne przetwarzanie wiadomości SMS, co umożliwia realizację nieautoryzowanych transakcji.
- Automatyczne aktywowanie usług bez świadomości użytkownika.
- Dokładne sprawdzanie uprawnień aplikacji podczas instalacji – nietypowe żądania mogą być sygnałem ostrzegawczym.
- W przypadku wykrycia nieautoryzowanej aktywności, natychmiastowa reakcja: odinstalowanie aplikacji i kontakt z operatorem w celu zablokowania płatnych subskrypcji.
Podsumowując, zespół CERT Polska zwraca uwagę na konieczność zachowania ostrożności przy instalacji nowych aplikacji i radzi użytkownikom systemu Android podjęcie stosownych działań zabezpieczających. Jak widać, nawet aplikacje wydawać by się mogło niegroźne, mogą być źródłem poważnych problemów związanych z prywatnością i bezpieczeństwem danych.
„`