Αναλύοντας προσφορές κακόβουλων εφαρμογών στο Google Play προς πώληση στο Darknet, οι ειδικοί της Kaspersky ανακάλυψαν ότι οι κακόβουλες εφαρμογές για φορητές συσκευές, αλλά και οι κακόβουλοι λογαριασμοί προγραμματισμού καταστημάτων πωλούνται έως και 20.000 δολάρια. Χρησιμοποιώντας το Kaspersky Digital Footprint Intelligence, οι ερευνητές συνέλεξαν παραδείγματα από εννέα διαφορετικά forum στο Darknet όπου πραγματοποιείται η αγοροπωλησία αγαθών και υπηρεσιών που σχετίζονται με κακόβουλο λογισμικό. Η αναφορά φανερώνει τον τρόπο με τον οποίο οι απειλές που πωλούνται στο Darknet εμφανίζονται στο Google Play και αποκαλύπτει επίσης τις διαθέσιμες προσφορές, το εύρος τιμών και τις δυνατότητες επικοινωνίας και συμφωνιών μεταξύ των εγκληματιών του κυβερνοχώρου.
Ακόμα κι αν τα επίσημα app stores ελέγχονται εξονυχιστικά, οι υπηρεσίες “επόπτη” δεν μπορούν πάντα να εντοπίσουν κακόβουλες εφαρμογές προτού δημοσιευτούν. Κάθε χρόνο, μια τεράστια γκάμα κακόβουλων εφαρμογών διαγράφεται από το Google Play αλλά μόνο αφού τα θύματα έχουν ήδη μολυνθεί. Οι εγκληματίες του κυβερνοχώρου συγκεντρώνονται στο Darknet –ένας ολόκληρος υπόγειος ψηφιακός κόσμος με τους δικούς του κανόνες, τιμές αγοράς και φημισμένα ιδρύματα– για να αγοράσουν και να πουλήσουν κακόβουλες εφαρμογές του Google Play και πρόσθετες λειτουργίες για να αναβαθμίσουν, ακόμη και να διαφημίσουν τις δημιουργίες τους.
Όπως και στα νόμιμα forum για την πώληση αγαθών, υπάρχουν επίσης διάφορες προσφορές στο Darknet για διαφορετικές ανάγκες και πελάτες με διαφορετικές οικονομικές δυνατότητες. Για να δημοσιεύσουν μια κακόβουλη εφαρμογή, οι εγκληματίες του κυβερνοχώρου χρειάζονται έναν λογαριασμό στο Google Play και έναν κακόβουλο κωδικό λήψης (Google Play Loader). Ένας λογαριασμός προγραμματιστή μπορεί να αγοραστεί φθηνά, για 200$ και μερικές φορές ακόμη και για μόλις 60$. Το κόστος των κακόβουλων loaders κυμαίνεται μεταξύ 2.000 και 20.000$, ανάλογα με την πολυπλοκότητα του κακόβουλου λογισμικού, την πρωτοτυπία και την επικράτηση του κακόβουλου κώδικα, καθώς και τις πρόσθετες λειτουργίες.
Το παράδειγμα μιας μεσαίας τάξης προσφοράς απειλής Google Play
Τις περισσότερες φορές, το κακόβουλο λογισμικό που διανέμεται προτείνεται να είναι κρυμμένο κάτω από ανιχνευτές κρυπτονομισμάτων, οικονομικές εφαρμογές, σαρωτές κώδικα QR, ακόμη και εφαρμογές γνωριμιών. Οι εγκληματίες του κυβερνοχώρου επισημαίνουν επίσης πόσες λήψεις έχει η νόμιμη έκδοση αυτής της εφαρμογής, πράγμα που σημαίνει πόσα πιθανά θύματα μπορούν να μολυνθούν με την ενημέρωση της εφαρμογής και την προσθήκη κακόβουλου κώδικα σε αυτήν. Τις περισσότερες φορές οι προτάσεις καθορίζουν 5.000 λήψεις ή περισσότερες.
Ο κυβερνοεγκληματίας πουλάει μια απειλή στο Google Play η οποία «υποδύεται» το tracker κρυπτονομισμάτων
Με πρόσθετη χρέωση, οι εγκληματίες του κυβερνοχώρου μπορούν να καλύψουν τον κώδικα της εφαρμογής για να καταστήσουν δυσκολότερο τον εντοπισμό του από λύσεις ασφάλειας στον κυβερνοχώρο. Για να αυξηθεί ο αριθμός των λήψεων μίας κακόβουλης εφαρμογής, πολλοί εισβολείς προσφέρουν επίσης να αγοράσουν εγκαταστάσεις – κατευθύνοντας κυκλοφορία μέσω των Google διαφημίσεων και προσελκύοντας περισσότερους χρήστες να κατεβάσουν την εφαρμογή. Οι εγκαταστάσεις κοστίζουν διαφορετικά για κάθε χώρα. Η μέση τιμή είναι 0,50 δολάρια ΗΠΑ, με προσφορές που κυμαίνονται από 0,10 έως αρκετά δολάρια. Σε μία από τις προσφορές που ανακαλύφθηκαν, οι διαφημίσεις για χρήστες από τις ΗΠΑ και την Αυστραλία κοστίζουν περισσότερο – 0,80 δολάρια.
Οι απατεώνες προσφέρουν τρία είδη εργασίας: για μερίδιο στο τελικό κέρδος, ενοίκιο και πλήρη αγορά είτε λογαριασμού είτε απειλής. Μερικοί πωλητές πραγματοποιούν ακόμη και δημοπρασίες για να αγοραστούν τα προϊόντα τους, καθώς πολλοί πωλητές περιορίζουν τον αριθμό των παρτίδων που πωλούνται. Για παράδειγμα, η αρχική τιμή μίας προσφοράς που βρήκαμε ήταν 1.500 δολάρια, με 700 δολάρια σταδιακά βήματα στη δημοπρασία και το blitz – η άμεση αγορά για την υψηλότερη τιμή – ήταν 7.000 δολάρια.
Οι πωλητές του Darknet μπορούν επίσης να προσφέρουν τη δημοσίευση της κακόβουλης εφαρμογής για τον αγοραστή, ώστε να μην αλληλεπιδράσει απευθείας με το Google Play, αλλά να μπορεί να λαμβάνει εξ αποστάσεως όλα τα δεδομένα που έχουν εντοπιστεί από τα θύματα. Μπορεί να φαίνεται ότι σε μια τέτοια περίπτωση ο προγραμματιστής μπορεί εύκολα να εξαπατήσει τον αγοραστή, αλλά είναι σύνηθες μεταξύ των πωλητών στο Darknet να διατηρούν τη φήμη τους, να υπόσχονται εγγυήσεις ή να αποδέχονται πληρωμή μετά την ολοκλήρωση των όρων της συμφωνίας. Για να μειώσουν τους κινδύνους κατά τη σύναψη συμφωνιών, οι εγκληματίες στον κυβερνοχώρο καταφεύγουν συχνά στις υπηρεσίες αδιάφορων μεσαζόντων, γνωστών ως «μεσεγγυητών». Η μεσεγγύηση μπορεί να γίνει ειδική υπηρεσία και να υποστηρίζεται από μια σκιώδη πλατφόρμα ή από third party που δεν ενδιαφέρεται για τα αποτελέσματα της συναλλαγής.
«Οι κακόβουλες εφαρμογές για φορητές συσκευές εξακολουθούν να αποτελούν μία από τις κορυφαίες κυβερνοαπειλές που στοχεύουν χρήστες, με περισσότερες από 1,6 εκατομμύρια επιθέσεις για κινητές συσκευές να εντοπίζονται το 2022. Ταυτόχρονα, η ποιότητα των λύσεων κυβερνοασφάλειας που προστατεύουν τους χρήστες από αυτές τις επιθέσεις επίσης αυξάνεται. Στο Darknet, βρήκαμε μηνύματα από εγκληματίες του κυβερνοχώρου που διαμαρτύρονταν για το ότι είναι πλέον πολύ πιο δύσκολο για αυτούς να ανεβάζουν τις κακόβουλες εφαρμογές τους σε επίσημα καταστήματα. Ωστόσο, αυτό σημαίνει επίσης ότι τώρα θα καταλήξουν σε πολύ πιο εξελιγμένα συστήματα παράκαμψης, επομένως οι χρήστες θα πρέπει να παραμείνουν σε εγρήγορση και να ελέγχουν προσεκτικά ποιες εφαρμογές κατεβάζουν», σχολιάζει η Alisa Kulishenko, ειδικός σε θέματα ασφάλειας της Kaspersky.
Βρείτε περισσότερα παραδείγματα απειλών στο Google Play που πωλούνται στο Darknet στην πλήρη αναφορά στο Securelist.
Για να παραμείνετε ασφαλείς από απειλές για φορητές συσκευές, η Kaspersky συνιστά:
- Ελέγξτε τα δικαιώματα των εφαρμογών που χρησιμοποιείτε και σκεφτείτε προσεκτικά προτού επιτρέψετε μια εφαρμογή, ειδικά όταν πρόκειται για δικαιώματα υψηλού κινδύνου, όπως η άδεια χρήσης των Υπηρεσιών Προσβασιμότητας. Η μόνη άδεια που χρειάζεται μια εφαρμογή φακού είναι στον φακό (που δεν περιλαμβάνει καν πρόσβαση στην κάμερα).
- Μια αξιόπιστη λύση ασφάλειας μπορεί να σας βοηθήσει να εντοπίσετε κακόβουλες εφαρμογές και λογισμικό διαφημίσεων προτού αρχίσουν να λειτουργούν στη συσκευή σας.
- Οι χρήστες iPhone διαθέτουν ορισμένα στοιχεία ελέγχου απορρήτου που παρέχονται από την Apple και μπορούν να αποτρέψουν την πρόσβαση της εφαρμογής σε φωτογραφίες, επαφές και λειτουργίες GPS, εάν πιστεύουν ότι αυτές οι άδειες δεν είναι απαραίτητες.
- Ενημερώστε το λειτουργικό σας σύστημα και τις σημαντικές εφαρμογές καθώς γίνονται διαθέσιμες οι ενημερώσεις. Πολλά ζητήματα ασφάλειας μπορούν να λυθούν με την εγκατάσταση ενημερωμένων εκδόσεων λογισμικού.