Aktualności
Tech
Audio
Rozrywka
Podcast
![DailyWeb testuje: [WYWIAD] Które języki tłumaczy się najtrudniej? O AI, pięknych urządzeniach, projektowaniu produktów dla seniorów i młodych – rozmawiamy z Kamilem Cupiałem z VASCO](https://alfred.dailyweb.pl/wp-content/uploads/2022/01/wywiad-1-300x250.png)
Testujemy
(249)
WideoGoogle Play stało się atakiem groźnego oprogramowania. Nowy malware o nazwie Autolycos wszedł w struktury aż ośmiu aplikacji. Zanim doszło do działań niwelujących zagrożenie użytkownicy pobrali je 3 miliony razy.
Aplikacje z wgranym Autolycosem pobrano aż 3 miliony razy
Malware ( czyli malicious software) to złośliwe oprogramowanie , którego celem jest uszkodzenie sprzętu i kradzież danych. Trzeba uważać, kiedy surfujemy po internecie, aby nie trafić na nieodpowiednią stronę, bo plik .apk na naszym androidzie może wywołać bardzo poważne szkody. Wirus tego typu o nazwie Autolycos zaatakował Google Play, infekując aż osiem aplikacji, które zostały w sumie pobrane 3 miliony razy! Maxime Ingrao – badacz bezpieczeństwa w firmie Evina odkrył problem już w czerwcu 2021 roku i właśnie wtedy przekazał raport do Google.
Found new family of malware that subscribe to premium services 👀
8 applications since June 2021, 2 apps always in Play Store, +3M installs 💀💀
No webview like #Joker but only http requests
Let’s call it #Autolycos 👾#Android #Malware #Evina pic.twitter.com/SgTfrAOn6H
— Maxime Ingrao (@IngraoMaxime) July 13, 2022
Autolycos na 8 aplikacjach z Google Play – spis tytułów
Google przyznało się do otrzymania wielce niepokojącego raportu, jednak długo zajęło firmie, aby usunąć niebezpieczne aplikacje. De facto – w ciągu sześciu miesięcy ze sklepu Google Play zniknęło 6 tytułów, a ostatnie dwa usunięto dopiero 13 lipca 2022 roku. Ponad rok Autolycos siedział w niektórych apkach na naszych telefonach, więc nie dziwnego, że statystyki pobrań są całkiem duże. Oczywiście nawet bez używania ich jesteśmy narażeni na hakerskie, szkodliwe działania. Wystarczy, że zostały pobrane i gdzieś sobie tam żyją w gąszczu innych elementów smartfona. Sprawdźcie czy przypadkiem nie posiadacie na telefonie następujących aplikacji:
- Vlog Star Video Editor – 1 milion pobrań
- Creative 3D Launche – 1 milion pobrań
- Funny Camera – 500.000 pobrań
- Wow Beauty Camera – 100.000 pobrań
- Gif Emoji Keyboard – 100.000 pobrań
- Razer Keyboard & Theme – 50.000 pobrań
- Freeglow Camera 1.0.0 – 5000 pobrań
- Coco Camera v1.1 – 1000 pobrań
Jak działa Autolycos ?
Autolycos to nowe złośliwe oprogramowanie, które w tle generuje niepożądane przez użytkownika działania, a mianowicie uruchamia adresy URL w zdalnej przeglądarce, a następnie dołączą wynik do żądań HTTP, pomijając standardowe, systemowe Webview. Takie działania są trudniejsze do zauważenia, a w przypadku wyżej wymienionych aplikacji dochodziło do uaktywnienia protokołu, który prosił użytkowników o pozwolenie na odczytanie wiadomości SMS. Zgoda miała bardzo opłakane skutki – hakerzy poprzez aplikacje miały dostęp do wglądu wiadomości SMS. Łatwo sobie wyobrazić, że w obecnych czasach często w taki sposób wykonujemy przelewy bankowe. Osoby niepożądane mające taką wiedzę mogą przywłaszczyć sobie spore korzyści majątkowe.
Autolycos miał całkiem niezłą kampanię reklamową. Hakerzy stworzyli szereg promocji w mediach społecznościowych, aby zachęcić użytkowników do pobrania aplikacji, mających złośliwe oprogramowanie. W przypadki Razer Keyboard & Theme doszukano się aż 74 kampanii reklamowych i jak widać działania okazały się efektywne – nieświadomi użytkownicy smartfonów kliknęli ikonkę „pobierz” aż 50 000 razy. Oczywiście Razer Keyboard & Theme nie był powiązany z firmą Razer. Dzięki sprytnym, nielegalnym działaniom promocyjnym mieliśmy dostać dostęp do unikatowych motywów video, klawiatur czy układów wizualnych smartfonów. W celu zwiększenia wiarygodności usługa była dostępna dla gadżeciarzy, mających plan premium. Maxime Ingrao przedstawił na swoim Twitterze przykłady i linijki kodu jak działa Autolycos.
It retrieves a JSON on the C2 address: 68.183.219.190/pER/y
It then executes the urls, for some steps it executes the urls on a remote browser and returns the result to include it in the requests
This allows it not to have a Webview and to be more discrete pic.twitter.com/v5S6fUjx7M
— Maxime Ingrao (@IngraoMaxime) July 13, 2022
Jak się uchronić przed złośliwym oprogramowaniem typu Autolycos ?
Niektóre aplikacje cierpiały na negatywne opinie użytkowników, za to te z mniejszą liczba pobrań utrzymały wysoką ocenę dzięki recenzjom botów. Zawsze warto dokładnie przeanalizować, czy dana aplikacja nie uczyni szkód na smartfonie, a co gorsza na naszej kieszeni czy kradzieży danych. To już nie pierwszy raz, kiedy jakiś trojan zadomowił się na Google Play, więc tym bardziej warto zwiększyć czujność. Dobre opinie nie są wyznacznikiem jakości, a co więcej potrafią narobić więcej szkód niż jesteśmy sobie wyobrazić. Warto „pogoolować” w sieci na temat danej aplikacji – najlepiej sprawdzić recenzję od zaufanych portali, zainstalować i pozostawić aktywnego Google Protect.
I przede wszystkim – nie zezwalać aplikacjom na odczytywanie SMS-ów. Dobrym pomysłem jest również przegląd telefonu i usuwanie zbędnych apek, których nie używamy oraz sprawdzenie jakie elementy smartfona działają w tle. Kontrolować, mieć ograniczone zaufanie, bo jak widać nawet raporty od specjalistów, którzy mają doświadczenie w szukaniu takich nieprawidłowości nie mają natychmiastowego skutku.