Użytkownicy systemu Android powinni unikać instalowania aplikacji od nieznanych deweloperów. Badacze Pradeo odkryli niedawno zagrożenie bezpieczeństwa w postaci złośliwego spyware "Facestealer" o nazwie Craftsart Cartoon Photo Tool, które było dystrybuowane w Google Play Store, które z powodzeniem trafiło do tysięcy użytkowników Androida.
Facestealer, który za pomocą inżynierii społecznej łączył się automatycznie z rosyjskim serwerem, był wykorzystywany do kradzieży danych uwierzytelniających Facebooka. Dzięki oprogramowaniu szpiegowskiemu sprawcy uzyskali całkowitą kontrolę i dostęp do kont swoich ofiar na Facebooku. Mieli dostęp do wszystkiego, co związane z kontami, w tym informacji o kartach kredytowych, rozmów, wyszukiwań itd. Sprawdź poniższy obrazek, aby zobaczyć pełną listę informacji, do których mieli dostęp po uzyskaniu pełnego dostępu.
Kliknij tutaj, aby dowiedzieć się więcej o informacjach, do których mieli pełny dostęp i mogli je pobrać.
Dobra wiadomość jest taka, że Google usunęło aplikację ze swojego sklepu 22 marca.
Jak Oszukują Google i Użytkowników
Wślizgnęli oni złośliwe oprogramowanie do sklepów z aplikacjami jako aplikację mobilną dystrybuowaną w Google Play i sklepach z aplikacjami innych firm. Aplikacja ta naśladowała zachowanie znanych, legalnych aplikacji do edycji zdjęć, aby dotrzeć do dużej grupy odbiorców. Dzięki tej strategii byli w stanie ukryć swoje nielegalne działania i oszukać wielu użytkowników. W rezultacie przemycili niewielki fragment kodu omijając zabezpieczenia sklepów z aplikacjami, aby zrealizować swoje plany.
Złośliwe Oprogramowanie Zbierało Dane Uwierzytelniające z Kont na Facebooku
Natychmiast po zainstalowaniu przez użytkowników aplikacji i jej otwarciu wyświetlana była strona logowania do Facebooka. Użytkownicy zostali podstępnie zmuszeni do zalogowania się na swoje konta na Facebooku, aby móc korzystać z aplikacji. Jeżeli nie zalogowali się na swoje konta na Facebooku, nie mogli korzystać z aplikacji. Jednak natychmiast po zalogowaniu ich informacje (nazwa użytkownika i hasło) były przekazywane hakerom.
Użytkownicy są podstępnie zmuszani do logowania się na swoje konta na Facebooku, aby mogli korzystać z aplikacji. Jeśli nie zalogują się na swoje konta na Facebooku, nie będą mogli korzystać z aplikacji. Natychmiast po zalogowaniu się ich informacje (nazwa użytkownika i hasło) są przekazywane hakerom.
Oszustwo Finansowe
Skradzione dane uwierzytelniające Facebooka są wykorzystywane na wiele sposobów, z których najczęstsze to wysyłanie linków phishingowych, rozpowszechnianie fałszywych wiadomości i popełnianie oszustw finansowych. W tym przypadku cyberprzestępcy mieli dostęp do informacji o kartach kredytowych ofiar, co bardzo ułatwiło im kradzież pieniędzy.
Rosyjskie Zarejestrowane Połączenia Domenowe
Craftsart Cartoon Photo Tools podłączony do domeny zarejestrowanej w Rosji, którą eksperci ds. bezpieczeństwa cybernetycznego zbadali i odkryli, że była używana przez 7 lat z przerwami i była powiązana z wieloma złośliwymi aplikacjami mobilnymi, które były dostępne w Google Play w pewnym momencie, ale później zostały usunięte. Cyberprzestępcy wciąż przepakowują aplikacje mobilne, aby oszukać ofiary, aby utrzymać obecność w Google Play. Hakerzy często automatyzują proces przepakowywania, co bardzo ułatwia im powrót z nowymi aplikacjami, gdy tylko ich nielegalne aplikacje zostaną wykryte i usunięte ze Sklepu Google Play.
Jak Usunąć tę Złośliwą Aplikację
Dobrą wiadomością jest to, że aplikacja jest jedyna w swoim rodzaju; nie ma innej aplikacji o tej samej nazwie w Sklepie Google Play. W rezultacie, identyfikacja i usunięcie Craftsart Cartoon Photo Tools z urządzeń mobilnych jest proste.
Aby usunąć Craftsart Cartoon Photo Tools z urządzenia z systemem Android, przejdź do Ustawienia > Aplikacje > Zarządzanie aplikacjami, przewiń w dół do Craftsart Cartoon Photo Tools, dotknij go i dotknij Odinstaluj.
Przejdź do Ustawień, aby sprawdzić telefon pod kątem aktualizacji zabezpieczeń. Ustawienia > System > Aktualizacja systemu.
Zainstaluj dobrą aplikację antywirusową na Androida, aby zapewnić, że to się nie powtórzy. Powinieneś również pobrać aplikacje z Google Play, ponieważ, choć nie jest to całkowicie bezpieczne, jest znacznie bezpieczniejsze niż większość nierozpoznanych i nielegalnych sklepów z aplikacjami, w których nadal można znaleźć Craftsart Cartoon Photo Tools.
Udaj się do Sklepu Google Play, aby włączyć Google Play Protect. Sklep Google Play > Profil > Play Protect > Ustawienia > Włącz skanowanie aplikacji za pomocą Play Protect.
Przejdź do Ustawień, aby sprawdzić telefon pod kątem aktualizacji zabezpieczeń. Ustawienia > System > Aktualizacja systemu.
Zawsze, gdy podejrzewasz, że pobierasz skompromitowaną aplikację i usuwasz ją, dobrym środkiem ostrożności, który powinieneś podjąć, jest zmiana hasła do mediów społecznościowych (w tym przypadku Facebooka). Wyloguj się również ze wszystkich urządzeń, na których mogą być zalogowane Twoje konta, dzięki czemu będziesz mógł automatycznie wylogować przestępców na stałe.
Nie zapomnij o wykonaniu sprawdzenia bezpieczeństwa na swoim urządzeniu. Otwórz przeglądarkę internetową w swoim telefonie i wykonaj Google Security Checkup. Postępuj zgodnie z krokami, aby nadać swojemu urządzeniu solidniejsze ustawienia bezpieczeństwa.
Następnie upewnij się, że zawsze czytasz recenzje użytkowników przed pobraniem aplikacji. Niektórzy użytkownicy dali tej aplikacji jednogwiazdkowe recenzje i ostrzegli innych, że to straszny produkt i oszustwo. Poniżej znajduje się zrzut ekranu.
Inną taktyką stosowaną przez cyberprzestępców, którą chcielibyśmy omówić w tym artykule, ujawnioną przez ekspertów ds. cyberbezpieczeństwa, jest atak na Androida znany jako Tapjacking.
Tapjacking
Tapjacking, jak sama nazwa wskazuje, to połączenie słów "tap" i "jacking". Oznacza to, że ktoś przejął to, co użytkownicy stukają na swoich telefonach i tabletach. Jest to jeden z najbardziej podstępnych znanych hacków Androida, ponieważ nie opiera się na specjalnych uprawnieniach, zewnętrznych narzędziach lub bibliotekach.
Skromna wiadomość toastowa pojawi się na ekranie jako miła, niezauważalna efemeryczna rzecz, która zniknie zanim ją zauważysz. Jego typowym zastosowaniem jest dostarczanie użytkownikowi niekrytycznych powiadomień. Użytkownik jest zwykle nieświadomy tego, co się stało i nie wchodzi z tym w interakcję (ponieważ nie ma sposobu, aby mógł), i nie ma sposobu, aby wiadomość o tostach pozostała w nieskończoność. Pojawia się, a następnie znika w jednej chwili.
Istnieje jeszcze jedna sztuczka stosowana w połączeniu z Tapjackingiem znana jako nakładki na ekran.
Nakładki na Ekran
Nakładka ekranowa to zazwyczaj element aplikacji, który pojawia się na wierzchu innych aplikacji, np. główki czatu w komunikatorze Facebook Messenger. Błąd nakładki ekranowej można otrzymać, jeśli jedna aplikacja blokuje część innej aplikacji na ekranie, co można łatwo wyłączyć. Na przykład przy pierwszym uruchomieniu aplikacji może zostać wyświetlony monit o potwierdzenie udzielenia jej dostępu do folderów telefonu. Nakładka ekranowa to okno dialogowe, które pojawia się w tym czasie, powodując wyszarzenie reszty ekranu, a jednocześnie pozwalając zobaczyć, co jest pod spodem. Nakładki ekranowe są bezsprzecznie przydatną funkcją. W rzeczywistości są one odpowiedzialne za pływające bąbelki czatu używane przez Facebook Messenger.
Ironia sytuacji polega na tym, że cyberprzestępcy wykorzystują tę funkcję do oszukiwania użytkowników urządzeń mobilnych.
Tapjacking jest Spowodowany przez Nakładki na Ekranie
Najważniejszym aspektem całej koncepcji jest to, że żadna nakładka na ekran nie powinna być aktywna, gdy jesteś w trakcie przyznawania krytycznego pozwolenia dla aplikacji. Mówimy "nie powinna", ponieważ rzeczywista implementacja tej koncepcji bezpieczeństwa jest poważnie wadliwa. Po włączeniu ta funkcja bezpieczeństwa uniemożliwia interakcję z podstawowym UI, jeśli nakładka jest aktywna.
Dlaczego tak się dzieje? Dzieje się tak dlatego, że aktywna nakładka na ekran może wykryć stuknięcia i przechwycić wszelkie informacje przekazywane do działalności podstawowej, takie jak hasła, informacje o kartach kredytowych i inne wrażliwe informacje To przerażające.
Jak Atakujący Tworzy Podstępną Nakładkę
To właśnie tam toast wraca do gry, a jeśli chodzi o toast, większość programistów przewiduje malutki, krótkotrwały popup. Jednak toast może być większy, aby zawierać zawartość, taką jak obraz. Jak długo będzie żył? Umiejętny haker może stworzyć iluzję trwałości, wykorzystując wbudowany Android Timer. Gdy timer wygaśnie, toast zostanie przerysowany na ekranie, co jest doskonale i sprytnie wykonaną pracą. W rezultacie toast może być wykorzystywany do różnych celów, od nasłuchiwania stuknięć po wyświetlanie użytkownikom fałszywych haseł.
Tapjacking powinien być już oczywisty, że jest to exploit prawie niemożliwy do powstrzymania, ponieważ nie jest on natrętny.
Jak Zapobiegać Tapjackingowi w Systemie Android
Tapjacking jest prosty do uniknięcia, jeśli przyjrzysz się bliżej. Wszystko jest w porządku w krainie aplikacji tak długo, jak twój Android nie pozwala działaniom na zbieranie danych wejściowych, gdy nakładka jest aktywna. Niestety, w Androidzie 4.0.3 i wcześniejszych, to ustawienie bezpieczeństwa było domyślnie wyłączone, czyniąc te wersje najbardziej niesławnymi w historii Androida. Luka została w końcu wypełniona i wszyscy byli zadowoleni z modelu bezpieczeństwa Androida 6. Jednak z nieznanych powodów programiści Google postanowili ponownie wyłączyć to ustawienie w wersji 6.0.1, co spowodowało kilka przypadków skompromitowanych danych użytkowników. Jednym z powodów wydaje się być to, że Google wierzył, że użytkownicy wolą wygodę od irytacji związanej z ciągłym ustawianiem uprawnień, ale koszt zaniedbania okazał się zbyt wysoki.
Android 12 pozwala deweloperom zamknąć okna typu TYPE_APPLICATION_OVERLAY, aby zwiększyć bezpieczeństwo. Po zadeklarowaniu uprawnienia HIDE_OVERLAY_WINDOWS, gdy wrażliwy ekran zostanie otwarty, okna nakładki zostaną zamknięte za pomocą następującego fragmentu kodu:
Co Powinieneś Zrobić?
Użytkownicy powinni po prostu przejść do sekcji swoich ustawień, która dotyczy ekranów nakładania. Powinien on być albo nazwany "Aplikacje, które mogą pojawić się na górze" lub "Aplikacje, które mogą rysować nad innymi aplikacjami". Jeśli nadal nie jesteś pewien, szybkie wyszukiwanie Google dla marki i modelu telefonu ujawni prawidłowe ustawienie.
Deweloperzy powinni wczuć się w trudną sytuację użytkowników i uwzględnić następujące elementy na liście kontrolnej przed wydaniem: upewnić się, że ustawienie filterTouchesWhenObscured jest ustawione na true, lub że metoda onFilterTouchEventForSecurity() jest zaimplementowana w aplikacjach.
Podsumowanie
Facestealers można łatwo uniknąć, jeśli użytkownicy poświęcą czas na przeczytanie recenzji przed pobraniem aplikacji ze Sklepu Play lub Sklepu Apple. Nie bądź zbyt chętny do pobrania jakiejkolwiek aplikacji bez uprzedniego sprawdzenia recenzji, a następnie podwójnego sprawdzenia ponownie. Lepiej zapobiegać niż leczyć.
Ponadto, jeśli nie jesteś programistą bezpieczeństwa z dużym doświadczeniem, unikaj pobierania nowych aplikacji. Pozwól wielu użytkownikom najpierw zostawić recenzje, które możesz przeczytać, aby podjąć mądrą decyzję. Bądź świadomy, że niektórzy cyberprzestępcy używają fałszywych recenzji, aby oszukać użytkowników, a możesz łatwo wykryć taką sztuczkę tylko wtedy, gdy jesteś wystarczająco cierpliwy, aby dokładnie przeczytać recenzje.
Chcielibyśmy zaznaczyć, że zrozumienie i zapobieganie tapjackingowi nie jest nauką rakietową. Sukces tapjackingu opiera się na lenistwie Google'a i twórców aplikacji, a także na braku świadomości użytkowników. Możesz łatwo uniknąć tej luki teraz, gdy jesteś jej świadomy.
