Ostatnio okazało się, że użytkownicy Androida są celem ataków socjotechnicznych mających na celu kradzież ich poufnych danych, a także śledzenie ich aktywności. Stało się to możliwe dzięki wykryciu wielu zainfekowanych złośliwym oprogramowaniem aplikacji na Androida, które zawierają złośliwy kod.

Jak działa złośliwe oprogramowanie

Badania cyberbezpieczeństwa ESET wskazują, że ataki rozpoczynały się od tworzenia fałszywych kont w mediach społecznościowych, gdzie atakujący podawali się za atrakcyjne osoby. Po nawiązaniu kontaktu oferowali przejście do aplikacji czatu na Androida i pod pozorem zwykłych aplikacji oferowali ofiarom instalację złośliwego oprogramowania.

Atakujący obiecywali na przykład bonusy kasynowe za rejestrację w aplikacji. Biorąc pod uwagę, że wiele przyzwoitych witryn, takich jak twinspin.pl, również reklamuje kasyno bez depozytu, niedoświadczeni użytkownicy mogą łatwo pomylić atakujących z pracownikami takich witryn.

Co ciekawe, złośliwe aplikacje maskowały się jako zwykłe i przydatne aplikacje, takie jak przeglądarki, aktualizacje systemu oraz bezpłatne aplikacje do połączeń i przesyłania wiadomości. Jednak po zainstalowaniu aplikacje zaczęły śledzić aktywność użytkowników, miały dostęp do ich kontaktów i wiadomości, a nawet mogły nagrywać rozmowy telefoniczne.

Najnowsze raporty dotyczące cyberbezpieczeństwa ujawniają przerażające szczegóły dotyczące kampanii socjotechnicznej skierowanej do użytkowników Androida. Badacze odkryli, że 12 aplikacji wykorzystanych w tej kampanii wyglądało głównie na aplikacje komunikacyjne i randkowe, z wyjątkiem tylko jednej, która podszywała się pod portal informacyjny. Na pierwszy rzut oka wydawały się normalne i bezpieczne, ale w rzeczywistości były zainfekowane złośliwym oprogramowaniem.

Według źródeł, złośliwe aplikacje, zwłaszcza jedna z nich, zawierały ukryty kod trojana zdalnego dostępu (RAT) o nazwie VajraSpy. Co ciekawe, ten RAT został opracowany przez grupę Advanced Persistent Threat (APT) znaną jako Patchwork, która zwykle atakuje pakistańskich odbiorców.

VajraSpy to narzędzie z szerokim zakresem funkcji szpiegowskich, które mogą się rozszerzać w zależności od uprawnień przyznanych aplikacji dołączonej do jego kodu. Może kraść listy kontaktów, pliki, dzienniki połączeń, a nawet wiadomości SMS. Niektóre warianty tego programu są w stanie przechwytywać wiadomości z popularnych komunikatorów, takich jak WhatsApp i Signal, a także nagrywać rozmowy telefoniczne i robić zdjęcia za pomocą aparatu urządzenia z Androidem.

Jak się chronić 

Aby uchronić się przed instalacją aplikacji na Androida zainfekowanych złośliwym oprogramowaniem, należy przestrzegać kilku prostych wskazówek:

1. Należy upewnić się, że pobierane aplikacje pochodzą wyłącznie z zaufanych i oficjalnych źródeł, takich jak Sklep Google Play. Google przeprowadza określone kontrole bezpieczeństwa przed udostępnieniem oprogramowania do pobrania, co zmniejsza ryzyko pobrania zainfekowanego oprogramowania.
2. Zaleca się zwracanie uwagi na uprawnienia wymagane przez aplikację podczas instalacji. Na przykład, jeśli oprogramowanie, które przedstawia się jako aplikacja komunikacyjna, prosi o pozwolenie na dostęp do kontaktów i wiadomości SMS, może to być znak ostrzegawczy. 
3. Pamiętaj, że aktualizacje systemu operacyjnego i aplikacji są niezbędne do zapewnienia bezpieczeństwa urządzenia. Aktualizacje zawierają poprawki luk w zabezpieczeniach, dzięki czemu można zapobiegać zagrożeniom bezpieczeństwa. 
4. Kolejną przydatną wskazówką jest korzystanie z oprogramowania antywirusowego. Pomoże ono wykryć złośliwe oprogramowanie i potencjalnie niebezpieczne aplikacje.

Wreszcie, ważne jest również, aby krytycznie podchodzić do aplikacji, które żądają dość dużych uprawnień na urządzeniu. Jeśli oprogramowanie wydaje się prosić o zbyt wiele uprawnień, lepiej odmówić dalszej instalacji.