Badacze z firmy Kaspersky wykryli trojana mobilnego Shopper, który nęka użytkowników niechcianymi reklamami i zwiększa liczbę instalowanych aplikacji zakupowych – wyprowadzając w pole zarówno użytkowników, jak i reklamodawców. Szkodnik odwiedza sklepy z aplikacjami na smartfonie, pobiera i uruchamia aplikacje, a następnie zostawia w imieniu użytkownika fałszywe recenzje. Wszystko odbywa się bez wiedzy właściciela urządzenia.
W związku z zimowymi wyprzedażami zarówno użytkownicy, jak i właściciele sklepów powinni zachować ostrożność. Wybierając sklep, użytkownicy kierują się w dużym stopniu recenzjami, podczas gdy sprzedawcy zwiększają na tej podstawie swoje budżety na promocję oraz reklamy. Niestety ani jedni, ani drudzy nie mogą całkowicie polegać na tym, co widzą online, ponieważ nowy trojan sztucznie zawyża oceny popularnych aplikacji zakupowych oraz zwiększa liczbę instalacji. Ponadto rozprzestrzenia liczne reklamy, które mogą irytować użytkowników.
Trojan Shopper zwrócił po raz pierwszy uwagę badaczy z powodu intensywnego maskowania swoich działań oraz wykorzystywania usługi ułatwień dostępu w systemie Android. Usługa ta pozwala m.in. ustawić opcję odczytywania na głos zawartości aplikacji oraz zautomatyzować interakcję z interfejsem użytkownika – aby ułatwić obsługę osobom z niepełnosprawnościami. Jednak w rękach cyberprzestępców funkcja ta stanowi poważne zagrożenie dla właściciela urządzenia.
Po uzyskaniu zezwolenia na korzystanie z usługi szkodnik może posiadać niemal nieograniczone możliwości interakcji z interfejsem systemu oraz aplikacjami. Może przechwytywać dane wyświetlane na ekranie, wciskać przyciski, a nawet symulować gesty użytkownika. Sposób rozprzestrzeniania szkodliwej aplikacji nie jest jeszcze znany, jednak badacze z firmy Kaspersky przypuszczają, że właściciele urządzeń pobierają ją z fałszywych reklam lub nieoficjalnych sklepów z aplikacjami podczas próby uzyskania legalnej aplikacji. Szkodliwa aplikacja ukrywa się pod postacią narzędzia systemowego, aby pozostać niewidoczną dla użytkownika. W momencie odblokowania ekranu aplikacja uruchamia się, gromadzi informacje o urządzeniu ofiary, a następnie wysyła je do serwera kontrolowanego przez cyberprzestępców. Serwer przekazuje w odpowiedzi polecenia do wykonania przez aplikację.
W zależności od poleceń aplikacja może:
- wykorzystać konto właściciela w serwisie Google lub Facebook w celu rejestrowania się w popularnych aplikacjach zakupowych i rozrywkowych, takich jak AliExpress, Lazada, Zalora, Shein, Joom, Likee oraz Alibaba,
- pozostawiać recenzje aplikacji w Sklepie Play firmy Google w imieniu właściciela urządzenia,
- sprawdzać uprawnienia do korzystania z usługi ułatwień dostępu. Jeśli zezwolenie nie zostanie udzielone, aplikacja próbuje wymusić włączenie tej funkcji poprzez wyświetlanie fałszywych komunikatów,
- wyłączyć Google Play Protect – funkcję, która przeprowadza kontrolę bezpieczeństwa aplikacji ze Sklepu Play, zanim zostaną pobrane,
- otwierać w niewidocznym oknie odsyłacze otrzymywane ze zdalnego serwera,
- wyświetlać reklamy w momencie odblokowania ekranu urządzenia,
- pobierać i instalować aplikacje z nieoficjalnych zasobów,
- otwierać i pobierać reklamowane aplikacje ze Sklepu Play firmy Google.
Zagrożenie związane z omawianą szkodliwą aplikacją ogranicza się obecnie do niechcianych reklam, fałszywych recenzji i ocen wystawianych w imieniu ofiary. Nie ma jednak żadnej gwarancji, że twórcy tego oprogramowania nie zmienią w przyszłości jego funkcji. Na razie aplikacja koncentruje się na handlu, ale jej możliwości pozwalają na rozprzestrzenianie fałszywych informacji za pośrednictwem kont użytkowników w mediach społecznościowych oraz na innych platformach – powiedział Igor Gołowin, analityk szkodliwego oprogramowania z firmy Kaspersky.
Produkty firmy Kaspersky skutecznie wykrywają i blokują szkodliwe oprogramowanie Shopper pod następującą nazwą: Trojan-Dropper.AndroidOS.Shopper. Więcej informacji na temat aplikacji Shopper znajduje się na stronie https://r.kaspersky.pl/M8JVq.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące działania pozwalające zmniejszyć ryzyko infekcji opisywanym szkodliwym oprogramowaniem:
- Uważaj na aplikacje, które żądają wykorzystania usług dostępności, jeśli cel, do jakiego zostały stworzone, nie ma nic wspólnego z tą funkcją.
- Zawsze sprawdzaj uprawnienia zainstalowanych aplikacji, aby wiedzieć, jakie działania mogą wykonywać.
- Nie instaluj aplikacji z niezaufanych źródeł, nawet jeśli są aktywnie reklamowane. W ustawieniach smartfona zablokuj instalację programów z nieznanych źródeł.
- Stosuj niezawodne rozwiązanie bezpieczeństwa mobilnego, takie jak Kaspersky Internet Security for Android, które pomoże Ci zidentyfikować potencjalnie niebezpieczne lub podejrzane żądania pobranych aplikacji oraz wyjaśnić zagrożenia związane z różnymi rodzajami powszechnych uprawnień.