Praha 12. dubna 2023 (PROTEXT) - Experti společnosti Kaspersky analyzovali na Darknetu nabídky prodeje nebezpečných aplikací pro Google Play a zjistili, že škodlivé mobilní aplikace a účty vývojářů pro tuto platformu se prodávají za až 20.000 USD.
Výzkumníci v rámci služby Kaspersky Digital Footprint Intelligence shromáždili příklady z devíti různých fór Darknetu, kde probíhá nákup a prodej zboží a služeb souvisejících se škodlivým softwarem. Zpráva ukazuje, jak se hrozby prodávané na Darknetu dostávají na Google Play, a odhaluje také dostupné nabídky, cenové rozpětí a charakter komunikace a dohod mezi kyberzločinci.
Oficiální obchody s aplikacemi jsou sice aktivně hlídány, moderátorské služby však přesto nedokážou zcela zabránit nahrávání škodlivých aplikací. Každý rok je proto velké množství škodlivých aplikací na Google Play odstraněno až poté, co dojde k infikování obětí. Kyberzločinci se shromažďují na Darknetu - v digitálním podsvětí s vlastními pravidly, tržními cenami i renomovanými zprostředkovatelskými službami pro zajišťování "fair play", kde nakupují a prodávají škodlivé aplikace pro Google Play a další funkce pro jejich vylepšování, a dokonce i reklamu svých výtvorů.
Stejně jako na legálních fórech pro prodej zboží jsou i na Darknetu různé nabídky pro různé potřeby a zákazníky s různými finančními možnostmi. K publikování škodlivé aplikace potřebují kyberzločinci účet Google Play a program pro nahrání škodlivého kódu (Google Play loader). Vývojářský účet lze koupit levně - za 200 USD, a někdy dokonce jen za 60 USD. Cena loaderů zákeřného softwaru se pohybuje mezi 2000 a 20.000 USD v závislosti na složitosti malwaru, novosti a míře rozšíření škodlivého kódu a také na dodatečných funkcích.
Nejčastěji se nabízí možnost skrýt distribuovaný malware v rámci aplikací, jako jsou sledovače kryptoměn, finanční programy, skenery QR kódů, nebo dokonce online seznamky. Kyberzločinci také zdůrazňují, kolik stažení má legitimní verze dané aplikace, což znamená, kolik potenciálních obětí může být infikováno při aktualizaci aplikace s přidaným škodlivým kódem. Nejčastěji bývá v nabídkách uvedeno 5000 a víc stažení.
Za příplatek můžou kyberzločinci upravit kód aplikace pomocí tzv. obfuskace tak, aby se ztížila jeho analýza při kontrole kybernetické bezpečnosti. Mnozí útočníci nabízejí také nákup podpory pro instalace přes reklamy na Googlu, aby nalákali další zájemce a zvýšili počet stažení škodlivé aplikace. Tato podpora stojí v každé zemi jinak. Průměrná cena je 0,50 USD, přičemž nabídky se pohybují od 0,10 až do několika USD. V jedné z objevených nabídek stály nejvíc reklamy pro uživatele z USA a Austrálie - 0,80 USD.
Útočníci nabízejí tři druhy služeb: za podíl z konečného zisku, za pronájem nebo za kompletní nákup účtu nebo škodlivého kódu. Někteří prodejci dokonce pořádají aukce na nákup svého zboží a omezují počet prodávaných položek. Například v jedné z nalezených nabídek byla vyvolávací cena 1500 USD s příhozy v aukci po 700 USD nebo možnost okamžitého nákup za nejvyšší cenu - 7000 USD.
Prodejci na Darknetu můžou také nabídnout, že škodlivou aplikaci sami nahrají, takže kupci nemusí používat Google Play přímo, ale přesto můžou získávat na dálku všechna zjištěná data obětí. Může se zdát, že v takovém případě může vývojář kupujícího snadno oklamat, ale mezi prodejci na Darknetu je zvykem, že si zachovávají a udržují „dobrou pověst“, slibují záruky nebo přijímají platby až po splnění podmínek dohody. Pro snížení rizik při uzavírání obchodů se kyberzločinci často uchylují ke službám nestranných zprostředkovatelů, označovaných anglickým termínem "escrow". Zprostředkování se může stát speciální službou a být podporováno nějakou stínovou platformou nebo třetí stranou, která není zainteresována na výsledcích transakce.
"Škodlivé mobilní aplikace jsou i nadále jednou z hlavních kybernetických hrozeb zaměřených na uživatele - v roce 2022 bylo zjištěno víc než 1,6 milionu mobilních útoků. Zároveň se zvyšuje kvalita řešení kybernetické bezpečnosti, která uživatele před těmito útoky chrání. Na Darknetu jsme našli zprávy od kyberzločinců, kteří si stěžovali, jak je pro ně nyní mnohem těžší nahrát své škodlivé aplikace do oficiálních obchodů. To však také znamená, že nyní budou přicházet s mnohem sofistikovanějšími metodami obcházení bezpečnostních opatření, takže uživatelé by měli zůstat ve střehu a pečlivě kontrolovat, jaké aplikace stahují," komentuje Alisa Kulishenko, bezpečnostní expertka společnosti Kaspersky.
Další příklady škodlivých aplikací a služeb pro Google Play prodávaných na Darknetu najdete v kompletní zprávě na webu Securelist.
Chcete-li zůstat v bezpečí před všemi mobilními hrozbami, společnost Kaspersky doporučuje:
- Zkontrolujte oprávnění aplikací, které používáte, a před jejich povolením si vše dobře rozmyslete, zejména pokud jde o vysoce riziková oprávnění, týkající se třeba používání služeb zpřístupnění. Například jediné oprávnění, které potřebuje aplikace Baterka pro rozsvícení LED světla fotoaparátu, je oprávnění k používání tohoto světla, a ne samotného fotoaparátu.
- Spolehlivé bezpečnostní řešení vám pomůže odhalit škodlivé aplikace a adware dříve, než začnou působit ve vašem zařízení.
- Uživatelé iPhonů mají k dispozici některé možnosti nastavení ochrany soukromí poskytované společností Apple a můžou zablokovat přístup aplikací k fotografiím, kontaktům a funkcím GPS, pokud si myslí, že jsou tato oprávnění zbytečná.
- Aktualizujte operační systém a důležité aplikace, jakmile jsou příslušné aktualizace k dispozici. Mnoho bezpečnostních problémů lze vyřešit instalací aktualizovaných verzí softwaru.
Chcete-li se informovat o službách monitorování hrozeb pro vaši organizaci, kontaktujte nás na adrese: dfi@kaspersky.com.