Cum acţionează şi cât de periculos este Shopper, noua ameninţare cibernetică descoperită de cei de la Kaspersky

Foto: University of York

Shopper vizitează magazinele de aplicaţii pentru smartphone, descarcă şi lansează aplicaţii şi lasă recenzii false în numele utilizatorului, ascunzându-se, în acelaşi timp, de proprietarul dispozitivului.

Cercetătorii Kaspersky au detectat o aplicaţie infectată cu un troian care deranjează utilizatorii cu reclame nesolicitate şi intermediază instalarea aplicaţiilor de cumpărături online.

Troianul, supranumit “Shopper”, a atras pentru prima dată atenţia cercetătorilor prin capacitatea de a crea confuzie în privinţa structurii sale şi prin utilizarea Google Accessibility Service. Serviciul le permite utilizatorilor să seteze o voce pentru a citi conţinutul aplicaţiei şi pentru a automatiza interacţiunea cu interfaţa cu utilizatorul – proiectată pentru a ajuta persoanele cu dizabilităţi. Însă, în mâinile atacatorilor acest serviciu reprezintă o ameninţare serioasă pentru proprietarul dispozitivului.

Odată ce are permisiunea de a utiliza serviciul, programul malware poate câştiga puteri aproape nelimitate de interacţiune cu interfaţa şi aplicaţiile sistemului. Poate captura date afişate pe ecran, apăsa butoane şi chiar simula gesturile utilizatorului.

Nu se cunoaşte încă modul în care este răspândită, însă cercetătorii Kaspersky presupun că poate fi descărcată de proprietarii de dispozitive din reclame frauduloase sau din magazine de aplicaţii terţe în timp ce încearcă să obţină o aplicaţie legitimă.

Aplicaţia pretinde a fi una de sistem şi foloseşte o pictogramă de sistem denumită ConfigAPKs pentru a se ascunde de utilizator. După ce ecranul este deblocat, aplicaţia se lansează, adună informaţii despre dispozitivul victimei şi le trimite pe serverele atacatorului. Serverul returnează comenzile pentru executarea aplicaţiei, aplicaţia fiind capabilă:

• Să utilizeze contul de Google sau Facebook al proprietarului dispozitivului pentru a se înregistra pe aplicaţii populare de cumpărături şi divertisment, cum ar fi AliExpress, Lazada, Zalora, Shein, Joom, Likee sau Alibaba.
• Să lase recenzii aplicaţiilor din Google Play, în numele proprietarului dispozitivului;
• Să verifice drepturile de utilizare a serviciului de accesibilitate. Dacă permisiunea nu este acordată, aplicaţia trimite o solicitare de phishing;
• Să dezactiveze Google Play Protect, o funcţie care efectuează o verificare de siguranţă a aplicaţiilor din Google Play Store înainte de a fi descărcate;
• Să deschidă link-urile primite de la server-ul de la distanţă într-o fereastră invizibilă şi să se ascundă din meniul aplicaţiei după ce un număr de ecrane au fost deblocate;
• Să afişeze reclame atunci când deblocaţi ecranul dispozitivului şi să creeze etichete pentru anunţurile publicitare din meniul aplicaţiei.
• Să descarce aplicaţii din Apkpure[.]com market şi să le instaleze;
• Să deschidă şi să descarce aplicaţii publicitare în Google Play;
• Să înlocuiască etichetele aplicaţiilor instalate cu etichetele paginilor promovate.

Cea mai mare pondere a utilizatorilor infectaţi de Trojan-Dropper.AndroidOS.Shopper.a din octombrie până în noiembrie 2019 se află în Rusia, 28,46% dintre utilizatorii de aici fiind afectaţi. Aproape o cincime (18,7%) dintre infectări au fost în Brazilia şi 14,23% în India.

„În ciuda faptului că, în acest moment, pericolul real care decurge din această aplicaţie se limitează la anunţuri nesolicitate, recenzii false şi evaluări emise în numele victimei, nimeni nu poate garanta că dezvoltatorii acestui malware nu îi vor schimba conţinutul”, spune Igor Golovin, Kaspersky malware analyst.

Pentru a reduce riscul de infectare cauzat de ameninţări malware precum aceasta, utilizatorii sunt sfătuiţi să respecte recomandările de mai jos:

• Feriţi-vă de aplicaţiile care necesită utilizarea serviciului de accesibilitate, dacă nu sunt concepute pentru a fi utilizate cu această funcţie.
• Verificaţi întotdeauna permisiunile aplicaţiilor, pentru a vedea ce anume au voie să facă aplicaţiile instalate.
• Nu instalaţi aplicaţii din surse care nu prezintă încredere, chiar dacă sunt promovate activ şi blocaţi instalarea programelor din surse necunoscute din setările smartphone-ului.
• Utilizaţi o soluţie fiabilă de securitate mobilă, care poate ajuta la identificarea cererilor potenţial periculoase sau îndoielnice făcute de aplicaţia descărcată şi să explice riscurile asociate cu diferite tipuri de permisiuni des întâlnite.