V súčasnosti sú mobilné aplikácie neoddeliteľnou súčasťou našich životov, slúžia nám na komunikáciu, nakupovanie alebo správu financií. S ich rastúcou popularitou však vzrastá aj záujem kybernetických útočníkov, ktorí využívajú zraniteľnosti v týchto aplikáciách na získanie osobných údajov a šírenie škodlivého softvéru. Najnovším prípadom, ktorý šokoval používateľov, je aplikácia Finance Simplified. Na prvý pohľad sa zdala byť nástrojom na správu financií, avšak v skutočnosti slúžila ako nástroj na nelegálne pôžičky, vydieranie a krádež citlivých informácií. Tento incident bol odhalený odborníkmi z cyfirma.com, ktorí nazvali podvodnú kampaň SpyLend.
Ako sa SpyLend dostal na Google Play?
Aplikácia Finance Simplified, pod identifikátorom com.someca.count, sa dostala na Google Play vďaka rafinovaným technikám, ktoré obchádzali bezpečnostné opatrenia platformy. Po nainštalovaní aplikácia zobrazovala zoznam neautorizovaných pôžičkových služieb, pričom využívala technológiu WebView na načítanie obsahu z externých stránok. To umožnilo hackerom distribuovať škodlivý softvér, ktorý neprešiel štandardným schvaľovacím procesom Google Play.
Mechanizmus fungovania aplikácie
Na začiatku aplikácia pôsobila ako kalkulačka na výpočet splátok, no po nainštalovaní začala vykonávať viacero nebezpečných aktivít. Prvou bola geolokačná funkcia, ktorá zistila polohu používateľa a zobrazila mu neautorizované pôžičkové aplikácie. Tieto služby mohli byť podvodné a viedli k vážnym finančným stratám.
Okrem toho aplikácia sťahovala externé APK súbory, ktoré obchádzali bezpečnostné mechanizmy Google Play. Používateľ si ich mohol stiahnuť bez akéhokoľvek upozornenia na riziko. Navyše aplikácia získavala prístup k citlivým údajom ako sú kontakty, SMS správy, histórie hovorov a dokonca aj obsah schránky. Takto mohla zachytiť heslá a ďalšie dôležité informácie.
Jednou z najzávažnejších funkcií aplikácie bola manipulácia s fotografiami, ktoré mohla upraviť do kompromitujúcich podôb. Útočníci následne tieto obrázky využívali na vydieranie obetí.
Komunikácia s riadiacim serverom a šírenie hrozby
Aplikácia odosielala zozbierané údaje na riadiaci server, ktorý hostovala platforma Amazon EC2. Táto infraštruktúra naznačuje, že za podvodom stáli útočníci, ktorí hovorili anglicky a čínsky. Po nainštalovaní aplikácie sa počet stiahnutí veľmi rýchlo zvýšil – z 50 000 na viac než 100 000. Na Google Play sa však začali objavovať varovné recenzie od používateľov, ktorí hlásili nelegálne používanie ich osobných údajov a vydieranie.
Podobné podvodné aplikácie
Podrobnejšia analýza odhalila, že SpyLend nebola jedinou podvodnou aplikáciou. Medzi ďalšie aplikácie, ktoré sa správali podobne, patrili KreditApple, MoneyApe a StashFur. Tieto aplikácie boli viackrát odstránené z Google Play, no útočníci ich opakovane nahrávali pod novými názvami.
SpyLend je príkladom toho, ako sa kybernetickí útočníci neustále prispôsobujú a hľadajú nové spôsoby, ako obísť bezpečnostné opatrenia a využiť dôveru používateľov. Tento incident by mal slúžiť ako výstraha pred slepou dôverou v aplikácie, aj tie, ktoré sa nachádzajú v oficiálnych obchodoch ako Google Play. Dôkladné overovanie a opatrnosť pri inštalovaní aplikácií môže ochrániť pred podobnými hrozbami.
