Συναγερμός για κακόβουλο λογισμικό στα Android

Με ειρωνική συγκυρία, καθώς η Samsung επιβεβαιώνει τις τελευταίες της ενέργειες για την καταστολή εφαρμογών που εγκαθίστανται εκτός των επίσημων καταστημάτων εφαρμογών, εμφανίζεται μια νέα ανησυχητική απειλή που δείχνει γιατί αυτές οι αλλαγές είναι απαραίτητες.

Η τελευταία απειλή εντοπίστηκε να κρύβεται μέσα σε δεκάδες εφαρμογές, όπως αναφέρει το Forbes. Η εγκατάσταση οποιασδήποτε από αυτές «επιτρέπει την υποκλοπή των αλληλεπιδράσεων του χρήστη, καθιστώντας το ένα ισχυρό εργαλείο για παρακολούθηση και κλοπή διαπιστευτηρίων».

Τι είναι το DroidBot;

Το DroidBot, όπως το περιγράφει η Cleafy, είναι ένα «προηγμένο Android Remote Access Trojan (RAT)» που συνδυάζει δυνατότητες όπως «κρυφή VNC και επικαλύψεις» με χαρακτηριστικά που συνδέονται συχνά με κατασκοπευτικό λογισμικό. Αυτά περιλαμβάνουν την καταγραφή πληκτρολογήσεων και την εξαγωγή επικίνδυνων και ευαίσθητων δεδομένων από μολυσμένες συσκευές.

Δεν είναι ιδιαίτερα περίπλοκο, αλλά δε χρειάζεται να είναι. Το τέχνασμα είναι να παραπλανηθούν οι χρήστες ώστε να εγκαταστήσουν κακόβουλα αρχεία. Από εκεί και πέρα, η διαδικασία γίνεται εύκολη για τους επιτιθέμενους.

Η Cleafy έχει εντοπίσει 77 μολυσμένες εφαρμογές, «συμπεριλαμβανομένων τραπεζικών ιδρυμάτων, ανταλλακτηρίων κρυπτονομισμάτων και εθνικών οργανισμών», υπογραμμίζοντας τη δυνατότητα ευρείας επίδρασης.

Ποιοι χώρες έχουν επηρεαστεί;

Το λογισμικό έχει ήδη μολύνει τηλέφωνα στο Ηνωμένο Βασίλειο, την Ιταλία, τη Γαλλία, την Ισπανία και την Πορτογαλία, ενώ προχωρά και στη Λατινική Αμερική. Οι Ηνωμένες Πολιτείες φαίνεται να είναι ο επόμενος στόχος.

Το DroidBot εμφανίζεται ως Malware as a Service (MaaS), διαθέσιμο για ενοικίαση από πολλαπλούς κακόβουλους φορείς. Η Cleafy έχει εντοπίσει «17 διαφορετικές ομάδες συνεργατών», πολλές από τις οποίες φαίνεται να συνεργάζονται.

Το λογισμικό μεταμφιέζεται σε δημοφιλείς εφαρμογές και υπηρεσίες, συμπεριλαμβανομένων εφαρμογών της Google, όπως το Play Store και το Chrome. Χρησιμοποιεί κοινά δολώματα, όπως ψεύτικες εφαρμογές ασφαλείας ή τραπεζικές εφαρμογές, για να παρασύρει τα θύματα.

Ποιοι είναι οι κίνδυνοι;

Το DroidBot καταχράται άδειες λειτουργίας για να λειτουργεί κρυφά στις συσκευές, κυρίως μέσω της Υπηρεσίας Προσβασιμότητας. Οι λειτουργίες του περιλαμβάνουν:

• Υποκλοπή μηνυμάτων SMS (συμπεριλαμβανομένων OTP).
• Καταγραφή πληκτρολογήσεων.
• Δημιουργία και εμφάνιση ψεύτικων οθονών σύνδεσης.
• Λήψη στιγμιότυπων οθόνης και χειρισμός.

Αυτός ο συνδυασμός λειτουργιών σχεδιάστηκε για να κλέβει ονόματα χρηστών, κωδικούς πρόσβασης και κωδικούς 2FA.

Πώς να προστατευτείτε

Η λίστα με τις μολυσμένες εφαρμογές που αναγνωρίστηκαν βρίσκεται παραπάνω. Αν έχετε εγκαταστήσει κάποια από αυτές:

1. Διαγράψτε την άμεσα.
2. Ελέγξτε τους λογαριασμούς σας και αλλάξτε κωδικούς πρόσβασης.
3. Ενεργοποιήστε το Play Protect στη συσκευή σας.
4. Βεβαιωθείτε ότι το λειτουργικό σας σύστημα είναι ενημερωμένο.

Χρυσοί κανόνες για ασφάλεια στο Android

• Χρησιμοποιείτε μόνο επίσημα καταστήματα εφαρμογών. Μην αλλάζετε τις ρυθμίσεις ασφαλείας για να εγκαταστήσετε εφαρμογές από άγνωστες πηγές.
• Ελέγχετε τον προγραμματιστή στην περιγραφή της εφαρμογής και τις κριτικές.
• Μην παραχωρείτε άδειες που δε χρειάζεται μια εφαρμογή.
• Μην κάνετε κλικ σε συνδέσμους σε μηνύματα ή email που οδηγούν σε άμεση λήψη εφαρμογών.
• Μην εγκαθιστάτε εφαρμογές που συνδέονται με καθιερωμένες εφαρμογές όπως το Chrome, εκτός και αν γνωρίζετε στην πραγματικότητα ότι είναι νόμιμες-ελέγξτε τις κριτικές και τις ηλεκτρονικές εγγραφές.

Ακολουθώντας αυτές τις οδηγίες, θα μειώσετε σημαντικά τον κίνδυνο να μολυνθεί η συσκευή σας.

Βίντεο