Istraživači kompanije Kaspersky otkrili su trojansku aplikaciju koja teroriše korisnike neželjenim reklamama i povećava broj instalacija aplikacija za onlajn kupovinu – zavaravajući i korisnike i oglašivače. Ova zlonamerna aplikacija obilazi prodavnice aplikacija za pametne telefone, preuzima i pokreće aplikacije i ostavlja lažne recenzije u ime korisnika, prikrivajući pri tom ove aktivnosti od vlasnika uređaja.
Kako zimska rasprodaja stiže u prodavnice, i korisnici i brendovi moraju biti na oprezu. Kada biraju prodavnice, korisnici se uveliko oslanjaju na recenzije, dok trgovci povećavaju budžet za promociju i oglašavanje. Kako se ispostavilo, ni jedni ni drugi ne mogu u potpunosti da veruju onome što vide onlajn, jer novi trojanac povećava ocene popularnih aplikacija za kupovinu i širi brojne reklame koje mogu nervirati korisnike.
Trojanac nazvan „Shopper” je privukao pažnju istraživača nakon njegove opsežne obmane i upotrebe Google usluge pristupačnosti. Usluga omogućava korisnicima da uključe opciju glasovnog čitanja sadržaja aplikacija i automatizuju interakciju sa korisničkim interfejsom – dizajnirana da pomogne osobama sa invaliditetom. Međutim, u rukama napadača ova funkcija predstavlja ozbiljnu pretnju za vlasnika uređaja.
Jednom kada dobije dozvolu za korišćenje usluge, malver može dobiti gotovo neograničene mogućnosti za interakciju sa sistemskim interfejsom i aplikacijama. Može snimati podatke predstavljene na ekranu, pritisnuti dugmad i čak oponašati korisničke geste. Još nije poznato kako se zlonamerna aplikacija širi, međutim istraživači kompanije Kaspersky pretpostavljaju da je vlasnici uređaja mogu preuzeti putem lažnih reklama ili aplikacija treće strane dok pokušavaju da preuzmu legitimnu aplikaciju. Aplikacija se maskira u sistemsku aplikaciju i koristi sistemsku ikonu pod nazivom ConfigAPKs kako bi se sakrila od korisnika. Nakon otključavanja ekrana, aplikacija se pokreće, prikuplja informacije o uređaju žrtve i šalje ih na servere napadača. Server vraća naredbe za pokretanje aplikacije. U zavisnosti od naredbe, aplikacija može:
- Koristiti Google ili Facebook nalog vlasnika uređaja kako bi se registrovala na popularne aplikacije za kupovinu i zabavu, uključujući AliExpress, Lazada, Zalora, Shein, Joom, Likee i Alibaba;
- Ostaviti recenzije aplikacija na Google Play prodavnici u ime vlasnika uređaja;
- Proveriti prava korišćenja usluge pristupačnosti. Ukoliko dozvola nije data, ona šalje fišing zahtev za nju;
- Isključiti Google Play Protect, funkciju koja pokreće bezbednosne provere aplikacija iz Google Play prodavnice pre preuzimanja;
- Otvoriti linkove primljene od udaljenog servera u nevidljivom prozoru i sakriti se od menija aplikacije nakon što je deblokiran veći broj ekrana;
- Prikazati reklame prilikom deblokiranja ekrana uređaja i kreirati oznake za reklame u meniju aplikacije;
- Preuzeti aplikacije sa Apkpure[.]com „tržišta“ i instalirati ih;
- Otvarati i preuzimati oglašene aplikacije iz Google Play prodavnice;
- Zameniti oznake instaliranih aplikacija oznakama oglašenih stranica;
Najveći udeo korisnika zaraženih malverom Trojan-Dropper.AndroidOS.Shopper.a od oktobra do novembra 2019. godine bio je u Rusiji, čak 28,46% svih pogođenih korisnika se nalazilo u zemlji. Skoro petina (18,70%) zaraza bila je u Brazilu, a 14,23% u Indiji.
„Uprkos činjenici da je u ovom trenutku stvarna opasnost koja proizilazi iz ove zlonamerne aplikacije ograničena na neželjene oglase, lažne preglede i recenzije objavljene u ime žrtve, niko ne može da garantuje da tvorci ovog malvera neće promeniti svoju taktiku na nešto drugo. Za sada je fokus ove maliciozne aplikacije na maloprodaji, ali njene mogućnosti omogućavaju napadačima da šire lažne informacije putem korisničkih naloga na društvenim mrežama i na drugim platformama. Na primer, na ličnim stranicama korisničkih naloga bi automatski mogao da deli video zapise koji sadrže ono što bi želeli akteri koji stoje iza malvera Shopper i samo preplavili internet nepouzdanim informacijama“, izjavio je Igor Golovin, analitičar malvera, Kaspersky.
Proizvodi kompanije Kaspersky uspešno otkrivaju i blokiraju malver Shopper pod sledećim imenom: Trojan-Dropper.AndroidOS.Shopper.