Μια κακόβουλη εφαρμογή «επισκέπτεται» smartphone app stores , «κατεβάζει» και εκκινεί εφαρμογές και αφήνει ψευδείς κριτικές εκ μέρους του χρήστη, όλα εν αγνοία του κατόχου της συσκευής.
Το trojan αυτό, που τρομοκρατεί τους χρήστες με αυτόκλητες διαφημίσεις και ενισχύει την εγκατάσταση εφαρμογών για διαδικτυακές αγορές, ξεγελώντας τόσο τους χρήστες όσο και τους διαφημιζόμενους, ανίχνευσαν οι ερευνητές της Kaspersky.
Καθώς πλησιάζουν οι χειμερινές εκπτώσεις, τόσο οι χρήστες όσο και τα brands πρέπει να είναι σε επιφυλακή. Κατά την επιλογή καταστημάτων, οι χρήστες βασίζονται σε μεγάλο βαθμό σε κριτικές, ενώ οι λιανοπωλητές αυξάνουν τους προϋπολογισμούς προώθησης και διαφήμισης.
Όπως αποδεικνύεται, κανείς δεν μπορεί να έχει πλήρη εμπιστοσύνη σε αυτό που βλέπει στο διαδίκτυο, καθώς μια νέα εφαρμογή Trojan ενισχύει τις αξιολογήσεις και τις εγκαταστάσεις δημοφιλών εφαρμογών για διαδικτυακές αγορές και διαδίδει πολυάριθμες διαφημίσεις που μπορεί να ενοχλούν τους χρήστες.
Το Trojan, με τίτλο «Shopper», κέντρισε την προσοχή των ερευνητών μετά την εκτεταμένη χρήση της υπηρεσίας προσβασιμότητας της Google. Η υπηρεσία επιτρέπει στους χρήστες να ορίζουν μια φωνή για να διαβάζουν το περιεχόμενο της εφαρμογής και να αυτοματοποιούν την αλληλεπίδραση με το περιβάλλον εργασίας χρήστη – σχεδιασμένη για να βοηθά τα άτομα με αναπηρίες. Ωστόσο, στα χέρια των επιτιθέμενων αυτό η λειτουργία αποτελεί μια σοβαρή απειλή για τον ιδιοκτήτη της συσκευής.
Μόλις έχει την άδεια να χρησιμοποιήσει την υπηρεσία, το κακόβουλο λογισμικό μπορεί να αποκτήσει σχεδόν απεριόριστες ευκαιρίες για να αλληλεπιδράσει με τη διεπαφή του συστήματος και τις εφαρμογές.
Μπορεί να καταγράψει δεδομένα που εμφανίζονται στην οθόνη, να πατήσει κουμπιά, ακόμη και να προσομοιώσει τις κινήσεις του χρήστη.
Δεν είναι γνωστό ακόμα πώς εξαπλώνεται η κακόβουλη εφαρμογή, ωστόσο, οι ερευνητές της Kaspersky υποθέτουν ότι μπορεί να γίνει λήψη της από τους κατόχους συσκευών από δόλιες διαφημίσεις ή καταστήματα εφαρμογών τρίτων, ενώ προσπαθούν να κάνουν λήψη μιας νόμιμης εφαρμογής.
Η εφαρμογή μεταμφιέζεται ως εφαρμογή συστήματος και χρησιμοποιεί ένα εικονίδιο συστήματος με το όνομα "Conpapks" για να κρυφτεί από το χρήστη. Μετά το ξεκλείδωμα της οθόνης πραγματοποιείται εκκίνηση της εφαρμογής, η οποία συγκεντρώνει πληροφορίες σχετικά με τη συσκευή του θύματος και τις αποστέλλει στους servers του εισβολέα. Ο server επιστρέφει τις εντολές για να τις εκτελέσει η εφαρμογή. Ανάλογα με τις εντολές, η εφαρμογή μπορεί:
- Να χρησιμοποιήσει τον λογαριασμό Google ή Facebook ενός κατόχου συσκευής για να τον εγγράψει σε δημοφιλείς εφαρμογές αγορών και ψυχαγωγίας, συμπεριλαμβανομένων των AliExpress, Lazada, Zalora, Shein, JOOM, Likee και Alibaba.
- Να αφήσει κριτικές εφαρμογών στο Google Play εκ μέρους του κατόχου της συσκευής.
- Να ελέγχει τα δικαιώματα χρήσης της Υπηρεσίας Προσβασιμότητας. Εάν δεν εκχωρηθεί δικαίωμα, αποστέλλει αίτημα phishing σε αυτούς.
- Να απενεργοποιήσει το Google Play Protection, μια δυνατότητα που εκτελεί έλεγχο ασφαλείας σε εφαρμογές από το Google Play Store πριν από τη λήψη τους.
- Να ανοίξει links που λαμβάνονται από τον απομακρυσμένο server σε ένα αόρατο παράθυρο και να κρυφτεί από το μενού της εφαρμογής αφού ξεμπλοκάρει μια σειρά από οθόνες.
- Να εμφανίσει διαφημίσεις όταν ξεκλειδώνει την οθόνη της συσκευής και να δημιουργεί ετικέτες σε διαφημιζόμενες διαφημίσεις στο μενού της εφαρμογής.
- Να ανοίγει και να κατεβάζει διαφημιζόμενες εφαρμογές στο Google Play.
- Να αντικαταστήσει τις ετικέτες των εγκατεστημένων εφαρμογών με τις ετικέτες των διαφημιζόμενων σελίδων.
