Shopper, aplicatia ce raspandeste recenzii false prin intermediul serviciului de accesibilitate

Published by: 0

Cercetatorii Kaspersky au detectat o aplicatie infectata cu un troian care deranjeaza utilizatorii cu reclame nesolicitate si intermediaza instalarea aplicatiilor de cumparaturi online. Shopper viziteaza magazinele de aplicatii pentru smartphone, descarca si lanseaza aplicatii si lasa recenzii false in numele utilizatorului, ascunzandu-se, in acelasi timp, de proprietarul dispozitivului.

Acum, ca reducerile de iarna sunt in toi, atat utilizatorii, cat si comerciantii trebuie sa fie atenti. Atunci cand aleg un magazin, utilizatorii se bazeaza foarte mult pe recenzii, in timp ce comerciantii isi cresc bugetele de promovare si de publicitate. Dupa cum se dovedeste, niciunii dintre ei nu pot avea incredere deplina in ceea ce vad online, intrucat o noua aplicatie cu un troian creste rating-urle si instalarile aplicatiilor de cumparaturi, raspandind totodata numeroase reclame care pot deranja utilizatorii.

Troianul, supranumit “Shopper”, a atras pentru prima data atentia cercetatorilor prin capacitatea de a crea confuzie in privinta structurii sale si prin utilizarea Google Accessibility Service. Serviciul le permite utilizatorilor sa seteze o voce pentru a citi continutul aplicatiei si pentru a automatiza interactiunea cu interfata cu utilizatorul – proiectata pentru a ajuta persoanele cu dizabilitati. Insa, in mainile atacatorilor acest serviciu reprezinta o amenintare serioasa pentru proprietarul dispozitivului.

Odata ce are permisiunea de a utiliza serviciul, programul malware poate castiga puteri aproape nelimitate de interactiune cu interfata si aplicatiile sistemului. Poate captura date afisate pe ecran, apasa butoane si chiar simula gesturile utilizatorului. Nu se cunoaste inca modul in care este raspandita, insa cercetatorii Kaspersky presupun ca poate fi descarcata de proprietarii de dispozitive din reclame frauduloase sau din magazine de aplicatii terte in timp ce incearca sa obtina o aplicatie legitima. Aplicatia pretinde a fi una de sistem si foloseste o pictograma de sistem denumita ConfigAPKs pentru a se ascunde de utilizator. Dupa ce ecranul este deblocat, aplicatia se lanseaza, aduna informatii despre dispozitivul victimei si le trimite pe serverele atacatorului. Serverul returneaza comenzile pentru executarea aplicatiei, aplicatia fiind capabila:

  • Sa utilizeze contul de Google sau Facebook al proprietarului dispozitivului pentru a se inregistra pe aplicatii populare de cumparaturi si divertisment, cum ar fi AliExpress, Lazada, Zalora, Shein, Joom, Likee sau Alibaba.
  • Sa lase recenzii aplicatiilor din Google Play, in numele proprietarului dispozitivului;
  • Sa verifice drepturile de utilizare a serviciului de accesibilitate. Daca permisiunea nu este acordata, aplicatia trimite o solicitare de phishing;
  • Sa dezactiveze Google Play Protect, o functie care efectueaza o verificare de siguranta a aplicatiilor din Google Play Store inainte de a fi descarcate;
  • Sa deschida link-urile primite de la server-ul de la distanta intr-o fereastra invizibila si sa se ascunda din meniul aplicatiei dupa ce un numar de ecrane au fost deblocate;
  • Sa afiseze reclame atunci cand deblocati ecranul dispozitivului si sa creeze etichete pentru anunturile publicitare din meniul aplicat
  • Sa descarce aplicatii din Apkpure[.]com market si sa le instaleze;
  • Sa deschida si sa descarce aplicatii publicitare in Google Play;
  • Sa inlocuiasca etichetele aplicatiilor instalate cu etichetele paginilor

Cea mai mare pondere a utilizatorilor infectati de Trojan-Dropper.AndroidOS.Shopper.a din octombrie pana in noiembrie 2019 se afla in Rusia, 28,46% dintre utilizatorii de aici fiind afectati. Aproape o cincime (18,7%) dintre infectari au fost in Brazilia si 14,23% in India.

„In ciuda faptului ca, in acest moment, pericolul real care decurge din aceasta aplicatie se limiteaza la anunturi nesolicitate, recenzii false si evaluari emise in numele victimei, nimeni nu poate garanta ca dezvoltatorii acestui malware nu ii vor schimba continutul”, spune Igor Golovin, Kaspersky malware analyst. „Deocamdata, aplicatia isi indreapta atentia catre zona de comert, insa are capacitatea sa raspandeasca informatii false prin intermediul conturilor de socializare ale utilizatorilor si al altor platforme. De exemplu, aceasta ar putea distribui automat videoclipuri care contin tot ce ar dori operatorii din spatele Shopper sa se gaseasca pe paginile personale ale utilizatorilor si ar putea inunda Internetul cu informatii indoielnice.”

Produsele Kaspersky detecteaza si blocheaza malware-ul Shopper sub urmatorul nume de detectie: Trojan-Dropper.AndroidOS.Shopper. Cititi mai multe despre Shopper pe securelist.com.

Pentru a reduce riscul de infectare cauzat de amenintari malware precum aceasta, utilizatorii sunt sfatuiti sa respecte recomandarile de mai jos:

  • Feriti-va de aplicatiile care necesita utilizarea serviciului de accesibilitate, daca nu sunt concepute pentru a fi utilizate cu aceasta functie.
  • Verificati intotdeauna permisiunile aplicatiilor, pentru a vedea ce anume au voie sa faca aplicatiile instalate.
  • Nu instalati aplicatii din surse care nu prezinta incredere, chiar daca sunt promovate activ si blocati instalarea programelor din surse necunoscute din setarile smartphone-ului.
  • Utilizati o solutie fiabila de securitate mobila, cum ar fi Kaspersky Internet Security for Android, care poate ajuta la identificarea cererilor potential periculoase sau indoielnice facute de aplicatia descarcata si sa explice riscurile asociate cu diferite tipuri de permisiuni des intalnite.

Leave a Reply

Your email address will not be published. Required fields are marked *