Praha, 13. března 2019 – Výzkumný tým Check Point Research objevil masivní mobilní adwarovou kampaň. V oficiálním obchodě s aplikacemi Google Play bylo 210 infikovaných aplikací, které mají dohromady více než 147 milionů stažení. Celosvětová kampaň s názvem SimBad, pojmenovaná po většině infikovaných aplikací, které jsou herní simulátory, zneužívá telefony k podvodnému zobrazování reklam. Aplikace se navíc snaží maskovat a ukrýt před možnou odinstalací.
Všechny infikované aplikace využívají škodlivé SDK (Software Development Kit). I když existují i jiné SDK sady, které lze využít pro finanční zisk z mobilních aplikací, herní vývojáři se rozhodli použít SDK, které bude masivně zobrazovat reklamu, a tím zvýší zisky.
Mezi škodlivé aktivity aplikací patří například:
- Zobrazování reklam nejen v aplikaci, tedy například když uživatel odemkne telefon nebo používá jiné aplikace.
- Neustálé otevírání Google Play nebo 9Apps Store a přesměrování na jiné aplikace, takže vývojáři mohou těžit z dalších instalací.
- Ukrytí ikony aplikací, aby je nebylo možné jednoduše odinstalovat.
- Otevírání webového prohlížeče s odkazy od vývojářů aplikací.
- Stahování APK souborů a žádání uživatele o instalaci.
- Hledání slov poskytnutých aplikací v obchodu Google Play.
„Není to poprvé, kdy byl nějaký prvek třetí strany použit k infikování dodavatelského řetězce. Podobné útoky jsou pro kyberzločince velmi atraktivní a často snadnější než přímý útok na samotnou organizaci,“ říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point.
Výzkumný tým Check Point Research objevil také skupinu aplikací pro Android, které mají v SDK skrytý malware pojmenovaný SWAnalytics. Tyto zdánlivě nevinné aplikace pro Android jsou ke stažení v hlavních čínských obchodech s aplikacemi. Po instalaci aplikace SWAnalytics sleduje, kdy oběť otevírá infikovanou aplikaci nebo restartuje telefon a nenápadně krade a odesílá celý seznam kontaktů na vzdálený server.
Doposud bylo objeveno 12 infikovaných aplikací, většinou zaměřených na systémové nástroje, celkově už mají tyto aplikace vice než 111 milionů stažení. Teoreticky to znamená, že útočník mohl získat jména a kontaktní čísla třetiny celé čínské populace. „Taková data by samozřejmě mohla být obchodována na černých trzích a dále zneužívána,“ dodává Petr Kadrmas.
Zajímavostí je, že v červenci 2018 vydaly americké zpravodajské agentury zprávu, ve které upozorňují na možnou čínskou hrozbu a útoky na softwarové dodavatelské řetězce, což by mohlo narušit dlouhodobou konkurenční americkou ekonomickou výhodu.
Vzhledem k rafinovanosti kyberútočníků je důležité využívat špičková preventivní bezpečnostní řešení. Mobilní bezpečnostní řešení Check Point SandBlast Mobile chrání i před malwarem, který krade informace, jako jsme viděli v těchto případech. Pro více informací navštivte stránky o SandBlast Mobile: https://www.checkpoint.com/products/mobile-security/
Kompletní analýzu, přehled infikovaných aplikací a technické podrobnosti o kampani SimBad najdete zde:
https://research.checkpoint.com/simbad-a-rogue-adware-campaign-on-google-play/
Kompletní analýzu a technické podrobnosti o škodlivých čínských aplikacích najdete zde:
https://research.checkpoint.com/operation-sheep-pilfer-analytics-sdk-in-action/
Pokud jste byli infikováni podobnými aplikacemi, jako v případě kampaně SimBad, postupujte podle následujícího návodu:
Pro Android:
- Přejděte do „Nastavení“.
- Klikněte na „Aplikace“ nebo „Správce aplikací“.
- Vyhledejte podezřelou aplikaci a odinstalujte ji.
Pokud aplikaci namůžete najít, odinstalujte všechny nedávno instalované aplikace.
Pro iPhone:
- Přejděte do „Nastavení“.
- Najeďte na „Safari“.
- V seznamu možnosti si ověřte, že je zvolené „Blokovat pop-upy“.
- Potom přejděte do nabídky „Pokročilé“ -> „Data stránek“.
- Pokud je uvedena nějaká neznámá stránka, tak ji smažte.
Sledujte Check Point online:
Check Point Blog: http://blog.checkpoint.com/
Twitter: http://www.twitter.com/checkpointsw a www.twitter.com/CheckPointCzech
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
YouTube: http://www.youtube.com/user/CPGlobal
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software Technologies a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných cílených útoků. Check Point nabízí víceúrovňovou bezpečnostní architekturu s pokročilou prevencí hrozeb 5. generace pro podnikové sítě, cloud a mobilní prostředí, Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.