Nový trik hackerov funguje aj na Androide aj iPhone. Oklamú antivírus a ukradnú ti všetko
Bezpečnostní experti varujú pred novou kampaňou, ktorá šíri malvér vo falošných aplikáciách.
Kyberzločinci nikdy nespia. Neustále vyvíjajú nové spôsoby, ako sa jednoduchšie dostať cez bezpečnostné systémy rôznych operačných systémov alebo antivírového softvéru. Experti z McAfee objavili niekoľko nových malvérových kampaní, ktoré zneužívajú vývojárske rozhranie .NET MAUI a šíria škodlivý softvér ukrytý vo falošných verziách legitímnych aplikácií.
Hackeri idú po citlivých dátach užívateľov, ako sú prihlasovacie údaje alebo čísla kreditných kariet. Bezpečnostní analytici vysvetľujú, že v posledných rokoch sú čoraz populárnejšie cross-platformové mobilné vývojárske rozhrania. Ide o softvér, ktorý dokáže vytvoriť aplikácie, ktoré dokážu fungovať aj na Androide aj na platforme iOS. Existuje na trhu viacero nástrojov a medzi nimi aj nástroj od Microsoftu, ktorý sa nazýva Xamarin. Ide o známy nástroj, ktorý kyberzločinci sem-tam využívajú na vývoj malvéru.
Hackeri sa rýchlo naučili ako používať nový softvér
Microsoft ukončil podporu pre Xamarin v roku 2024 a namiesto toho predstavil .NET MAUI ako náhradu. Toto nové rozhranie pridáva medzi podporované OS aj Windows a macOS.
“Technológia sa mení a vyvíja a spolu s ňou aj kyberzločinci menia svoje taktiky. Nedávno sme pozorovali novú Android malvérovú kampaň, ktorú kyberzločinci vyvinuli prostredníctvom .NET MAUI rozhrania. Znamená to, že funkcionality týchto falošných aplikácií neexistujú ako DEX súbory alebo natívne knižnice, na ktoré sa zameriava veľa antivírových programov pre Android. V praxi to znamená, že sa malvér dokáže efektívne vyhnúť odhaleniu a dokáže dlhodobo pracovať na infikovaných zariadeniach,” vysvetľujú bezpečnostní analytici z McAfee.
Kyberzločinci vytvárajú falošné verzie známych aplikácií, pričom sa zameriavajú na aplikácie z rôznych sfér. Jednou zo zasiahnutých je sféra bankových aplikácií. Ak sa užívateľ dostáva k falošnej verzii známej bankovej aplikácie, počas prvého spustenia sa bude musieť “prihlásiť”, teda zadať meno, heslo a aj bankové údaje. Tie samozrejme okamžite putujú hackerom na ich server.
Bezpečnostní experti varujú, že toto nie je typický Android malvér. Narozdiel od bežnejších škodlivých súborov, v tomto prípade nie sú žiadne očividné stopy v kóde falošnej aplikácie.
Neprehliadni
Druhou kategóriou sú falošné aplikácie, ktoré sa vydávajú za populárne sociálne siete. Tieto sú podľa bezpečnostných analytikov ešte náročnejšie na zachytenie. Falošné aplikácie vydávajúce sa za sociálne siete útočia hlavne v Číne, kde je prístup k internetu obmedzený. Mnohí tamojší užívatelia preto sťahujú populárne sociálne siete od tretích strán. Tam je vyššie riziko, že užívateľ bude mať v zariadení malvér.
Malvér sa dokáže dlhodobo vyhýbať odhaleniu
Vyšetrovanie ukázalo, že jednou z taktík, ako sa môže malvér vyhnúť odhaleniu, je takzvaný multi-stage dynamic loading. Ide o takiku, v rámci ktorej hackeri neimplementujú škodlivý kód priamo do aplikácie v ľahko dostupnom formáte. Namiesto toho rozložia škodlivý kód do troch odlišných štádií, ktoré sa odhaľujú oveľa ťažšie.
“Okrem viacstupňového nahrávania škodlivého kódu malvér využíva aj niekoľko ďalších trikov, aby sa vyhol odhaleniu a aby sa jeho analýza stala náročnejšia. Jednou z implementovaných metód je manipulovanie AndroidManifest.xml súboru. Hackeri tomuto súboru pridávajú veľa nepotrebných povolení. Tieto povolenia obsahujú obrovské množstvo bezvýznamných, náhodne generovaných stringov. Tie môžu spôsobiť chyby pri analýze súborov. Hackeri využívajú túto metódu na to, aby narušili činnosť automatických skenerov,” vyjadrili sa bezpečnostní analytici.
Jedným z ďalších dôvodov, prečo je tento typ malvéru taký ťažko odhaliteľný, je spôsob, akým je škodlivý kód implementovaný. Namiesto bežných súborov typu DEX alebo natívnych knižníc, ktoré antivírusy v Android zariadeniach bežne kontrolujú, je funkčný kód ukrytý vo formáte tzv. blobov. Tie obsahujú binárne dáta napísané v jazyku C#, ktoré sú pre klasické skenery prakticky neviditeľné. Okrem toho malvér na komunikáciu so serverom útočníkov nevyužíva klasický HTTP protokol, ale šifrované TCP sockety. Vďaka tomu je veľmi náročné zachytiť a prečítať prenášané dáta.
Na ochranu je dôležité, aby si sťahoval aplikácie primárne z oficiálnych zdrojov. Sideloading, teda sťahovanie a inštalácia mimo oficiálnych obchodov, je síce na Androide možný, no odporúča sa len v prípade, ak vieš čo robíš a stránke, z ktorej aplikáciu sťahuješ, dôveruješ na 120%. V opačnom prípade je lepšie, ak sa budeš držať oficiálnych obchodov. Rovnako pomôže, ak si nainštaluješ aj dôveryhodný antivírový softvér. Na internete nájdeš veľa možností, pričom okrem všeobecnej ochrany má každý antivírový program aj svoje silné stránky.
Komentáre