Domov Novinky Ako hackeri nahrávajú škodlivé appky do obchodu?

Ako hackeri nahrávajú škodlivé appky do obchodu?

Zdielať

Google tvrdí, že útočníci stále používajú „verziovanie“ na obchádzanie kontrol škodlivého softvéru v obchode Play.

Vyhľadávací gigant môže urobiť len málo okrem vybudovania uzavretého systému podobného Applu. Epic Games a dokonca aj Bidenova administratíva kritizovali firmu za to, že si zachováva uzavretý systém a neumožňuje výrazné zmeny v iOS. Jedným z pádnych dôvodov, prečo systém zostáva uzatvorený, je však jeden z najtrvalejších problémov Googlu – vytváranie verzií. Pomocou dynamického načítania kódu môžu hackeri dodávať aplikáciám prevereným prostredníctvom obchodu s aplikáciami škodlivé aktualizácie cez server tretej strany a obchod s tým môže urobiť len málo. Tím Google Cybersecurity Action Team (GCAT) v tohtoročnej správe uvádza, že Google Play má naďalej známy problém so škodlivým softvérom. Škodliví vývojári aplikácií využívajú „verziovanie“ na nahrávanie malvéru do zdanlivo neškodných aplikácií. Najprv aktér hrozby nahrá do služby Google Play neškodnú aplikáciu. Neobsahuje žiadny škodlivý softvér, takže počas automatického procesu preverovania nespúšťa príznaky. Potom útočníci pošlú škodlivé aktualizácie prostredníctvom vlastneného alebo kompromitovaného servera pomocou dynamického načítania kódu (DCL).

Kedysi bezpečná aplikácia sa tak stáva zadnými vrátkami do zariadenia, ktoré umožňujú hackerom exfiltrovať osobné informácie vrátane prihlasovacích údajov používateľa. „Kampane využívajúce verziovanie sa bežne zameriavajú na poverovacie údaje, údaje a financie používateľov.“ uvádza sa v správe. „V podnikovom prostredí verziovanie poukazuje na potrebu uplatňovania zásad hĺbkovej ochrany, okrem iného vrátane obmedzenia zdrojov inštalácie aplikácií na dôveryhodné zdroje, ako je Google Play, alebo správy podnikových zariadení prostredníctvom platformy na správu mobilných zariadení (MDM).“ Spoločnosť o tomto útoku už nejaký čas vie, ale je ťažké ho zmierniť, pretože škodlivý softvér úplne obchádza kontroly. Možno si spomínate, že približne pred rokom obchod vymazal niekoľko údajne bezpečných antivírusových aplikácií, keď bezpečnostní výskumníci zistili, že vývojári používajú DCL na aktualizáciu programov s bankovým trójskym koňom Sharkbot.

Avšak aj keď gigant odstráni tieto aplikácie, nakoniec sa objavia ďalšie, zatiaľ čo mnohé ďalšie zostávajú dostupné vďaka alternatívnym obchodom s aplikáciami. V správe GCAT sa uvádza, že Sharkbot zostáva častým problémom aplikácií pre Android kvôli DCL. Niekedy sa v nej nájdu verzie Sharkbot upravené so zníženou funkčnosťou, aby sa znížila šanca, že ich automatické kontroly vyhodia. V obchodoch s aplikáciami tretích strán však môžu voľne bežať plne funkčné vydania. Zmiernenie dôsledkov je nakoniec na koncovom používateľovi systému Android alebo správcovi IT v spoločnosti. Google odporúča sťahovať softvér len zo služby Google Play alebo iných dôveryhodných zdrojov. Alternatívou sú riešenia Android Enterprise alebo riešenia tretích strán pre správu podnikovej mobility, ktoré majú zabudované nástroje umožňujúce správcom selektívne spravovať distribúciu aplikácií v podnikových zariadeniach. Gigant okrem toho odporúča správne využívať povolenia Marketplace, ktoré pomôžu obmedziť riziká.

Zdroj