Meta подала в суд на кілька китайських компаній (включаючи HeyMods, Highlight Mobi та HeyWhatsApp) за розробку та використання «неофіційних» програм WhatsApp для Android. Справа в тому, що з травня 2022 року за допомогою цих додатків було викрадено понад мільйон облікових записів WhatsApp.
Згідно з судовими документами, якими поділилися журналісти Bleeping Computer, шкідливі програми, зокрема, були доступні для завантаження з сайтів самих компаній, а також через Google Play Store, APK Pure, APKSFree, iDescargar та Malavida.
Після встановлення програм (у тому числі AppUpdater для WhatsPlus 2021 GB Yo FM HeyMods та Theme Store для Zap) вони використовували вбудоване шкідливе програмне забезпечення для збору конфіденційної інформації про користувачів, включаючи дані аутентифікації, а потім захопили чужі облікові записи WhatsApp для розсилки спаму.
Після того, як жертви встановили шкідливі програми, їм було запропоновано ввести свої облікові дані користувача WhatsApp та надати шкідливим програмам доступ до WhatsApp.” – документи свідчать.
При цьому, згідно з офіційною статистикою Google Play Store, лише програма AppUpdater for WhatsPlus була встановлена понад мільйон разів.
Ігровий сайт, який спамери рекламували у WhatsApp
Варто зазначити, що минулого літа глава WhatsApp Уілл Кеткар попередив користувачів, щоб вони не завантажували модифіковані версії WhatsApp, і навів приклад HeyMods і HeyWhatsApp. Кеткарт написав, що служба безпеки компанії виявила в цих додатках приховані шкідливі програми, і їхня основна мета – крадіжка особистої інформації користувачів.
Reminder to @WhatsApp users that downloading a fake or modified version of WhatsApp is never a good idea. These apps sound harmless but they may work around WhatsApp privacy and security guarantees. A thread:
Цікаво, що одночасно з тим, як ЗМІ дізналися про цей позов, Meta опублікувала офіційний прес-реліз, в якому також заявила, що виявила понад 400 шкідливих додатків, які викрадали дані користувача. Однак тут йдеться не тільки про програми для Android (355 штук), але і про програми для iOS (47 штук), а їх метою називалася крадіжка облікових даних від облікових записів Facebook.
Категорії шкідливих програм
Ці програми розміщувалися в Google Play Store та Apple App Store і маскувались під фоторедактори, ігри, VPN, бізнес-програми та інші утиліти, щоб змусити людей їх завантажити.” – сказала компанія.
Пропонуючи жертвам «Увійти через Facebook», програми врешті-решт викрадали облікові дані користувачів, зламували облікові записи інших людей і могли «виконувати такі дії, як надсилання повідомлень друзям та отримання доступу до особистої інформації». Повідомляється, що більше мільйона користувачів були повідомлені про потенційну компрометацію, і тепер їм рекомендується змінити свої паролі та включити двофакторну аутентифікацію.
Нещодавно дослідники з команди Check Point Research (CPR) попередили користувачів про все ще наявну небезпеку шкідливого програмного забезпечення Sharkbot, знайденого цього року в Google Play. Хоча про знахідку було негайно повідомлено Google і шкідливе ПЗ було видалено, команда каже, що знайшли нові шкідливі програми Sharkbot.
Що таке шкідливе програмне забезпечення Sharkbot?
Sharkbot — це програма-стілер в Android, яка видає себе за антивірусне ПЗ в Google Play. Це зловмисне програмне забезпечення краде банківську інформацію та облікові дані, одночасно впроваджуючи геозони та інші методи ухилення, що в якомусь аспекті на фоні інших виділяє його. Також цікавий аспект, на який вказують фахівці з кібербезпеки — алгоритм генерації домену (DGA) — рідко використовується серед шкідливих програм Android.
На пристрої жертви зловмисне програмне забезпечення створює вікна, які імітують справжні форми введення облікових даних, заманюючи жертв ввести свої облікові дані.
Потім зламані дані надсилаються на шкідливий сервер. Sharkbot використовує свою функцію геозонування для націлювання лише на конкретних жертв, за винятком користувачів з України, Білорусі, Румунії, Росії, Індії та Китаю. Крім того, він не працюватиме, якщо виконується в пісочниці.
Програми, які було виявлено шкідливими
У магазині Google Play команда CheckPoint Research (CPR) загалом виявила шість різних програм, які поширювали шкідливе програмне забезпечення. Згідно з інформацією, отриманою з www.appbrain.com, ці програми на момент виявлення вже були завантажені та встановлені приблизно 15 тисяч разів.
Трьох облікових записів розробників звинувачують у поширенні зловмисного програмного забезпечення: Bingo Like Inc, Adelmio Pagnotto та Zbynek Adamcik. Під час ретельної перевірки спеціалістів з кібербезпеки стало відомо, що два із згаданих акаунтів були активні вже восени 2021 року.
Статистика кількості завантажених шкідливих програм
Деякі з програм, які, ймовірно, належали цим обліковим записам, було видалено з Google Play, але вони все ще існують на неофіційних сайтах. Фахівці з кібербезпеки пояснюють, що це може означати, що розробники Sharkbot намагаються залишатися якомога непоміченими, продовжуючи здійснювати шкідливу діяльність.
Технічний аналіз Sharkbot
Команди
Говорячи про основну функціональність шкідливого програмного забезпечення, Sharkbot працює з традиційними інструментами як для шкідливого ПЗ на Android. Фахівці з кібербезпеки знайшли 27 версій бота.
Загалом Sharkbot може реалізувати 22 команди. За допомогою сервера командування та керування (CnC) на зламаному пристрої хакери можуть виконувати різні типи шкідливих дій. Можуть виконуватися такі команди:
removeApp
Насправді це не команда, а поле команди updateConfig. Під час виконання цієї команди сервер створює великий список програм, які слід видалити з пристрою жертви. Наразі список містить 680 назв додатків.
autoReply
Те саме, це не фактична команда, а поле в команді updateConfig. Під час цієї команди сервер надсилає повідомлення, що імітує відповідь на події push.
Swipe
Ця команда імітує рух користувача по екрану пристрою. Фахівці з кібербезпеки припускають, що це було зроблено, щоб дати можливість хакерам відкрити якусь програму або пристрій.
APP_STOP_VIEW
Тут CnC створює назви пакетів, а потім служба доступності не дозволяє користувачам отримати доступ до названих програм.
sendPush
Команда показує користувачеві push-повідомлення з призначеним текстом.
iWantA11
Вмикає службу доступності для Sharkbot.
getDoze
Вимикає оптимізацію акумулятора для пакета Sharkbot.
змінитиSmsAdmin
Збирає назви старих і використовуваних на даний момент програм SMS за замовчуванням для шкідливого ЧПУ.
збір контактів
Збирає та надсилає вкрадені контакти на шкідливі сервери.
видалити додаток
Ця команда видаляє названу програму в пакеті.
smsSend
Дія перевіряє, чи надано дозвіл на надсилання SMS. Якщо дозвіл надано, зловмисне програмне забезпечення може читати та надсилати SMS.
Є також деякі другорядні команди, що відповідають переважно за внутрішню роботу Sharkbot.
Активність серверів Sharkbot зареєстрована командою
Мережа
Немає такої кількості шкідливих програм, які можуть працювати без зв’язку з сервером CnC. Шкідливе ПЗ як Sharkbot – це ті, кому потрібен зв’язок із CnC-сервером. І ось тут випливає один цікавий факт про цю шкідливу програму.
Коли в суб’єктів загрози заблокували всі свої сервери, вони можуть використовувати алгоритм генерації домену, який майже ніколи не використовується в шкідливих програмах Android, але Sharkbot є винятком.
DGA — це алгоритм, при якому зловмисний клієнт і зловмисник змінюють сервер CnC без будь-якого зв’язку. За допомогою цього алгоритму важче заблокувати сервери оператора шкідливого ПЗ.
DGA складатиметься з двох частин: фактичного алгоритму та констант, які використовує цей алгоритм. Константи називаються сідсами DGA.
Протокол і нок-пакет
Обмін на сервері CnC відбувається через HTTP із запитом POST на шляху /. І запити, і відповіді шифруються за допомогою RC4.
Час від часу в чітко встановлений проміжок бот надсилатиме нок-пакет на сервер. За замовчуванням пакет надсилатиметься кожні 30 секунд. Період часу можна змінити за допомогою команди updateTimeKnock.
Інфраструктура
Під час публікації звіту команда Check Point Research (CPR) виявила 8 IP-адрес, які в різний час використовували оператори Sharkbot.
Дослідники припускають, що насправді є один реальний сервер, а інші — просто реле. Пік активності шкідливого ПЗ зрісло у березні; Фахівці з кібербезпеки пов’язали цей факт з тодішнім активним використанням дроппера Sharkbot в Google Play.
Статистика цілей Sharkbot
Згідно зі статистикою на основі розташування, основні цілі були у Сполученому Королівстві та Італії.
Дропери
Спочатку зловмисне програмне забезпечення завантажується та встановлюється під виглядом антивірусної програми. Потрапивши на машину жертви, Sharkbot виявляє емулятори, і якщо такий знайдений, він припиняє роботу.
У разі виявлення емулятора зв’язок з ЧПУ не відбудеться. Але зловмисне програмне забезпечення взагалі не працюватиме, якщо місцевістю є Україна, Білорусь, Росія, Румунія, Індія та Китай.
Та частина програми, яка контролюється сервером CnC, розуміє 3 команди:
Завантаження та встановлення файлу APK із наданої URL-адреси;
Зберігання поля автовідповіді в локальному сеансі;
Перезапуск локальної сесії.
Усі вони запитуватимуть однаковий набір дозволів.
Згодом вони зареєструють службу, щоб отримати доступ до Подій доступності.
Висновки
У швидкому темпі сучасного життя іноді можна пропустити червоний прапорець — ознака шкідливого програмного забезпечення в магазині додатків. На останок дослідницька група CheckPoint дала короткі поради щодо того, як уникнути шкідливих програм, особливо таких, як ця, маскована під антивірусне ПЗ:
Негайно повідомляйте про всі підозрілі програми, які ви зустрічаєте в магазині;
Уникайте завантаження програми від нового видавця, натомість спробуйте знайти аналогічний у надійного видавця;
Встановлюйте програми лише від перевірених і відомих видавців.
Незважаючи на те, що Google негайно видалив шкідливі програми, вони вже були завантажені 15 000 тисяч разів. Шкода завдана. Цей факт ще раз показує, що при прийнятті рішення про те, чи завантажувати програму чи ні, потрібно також покладатися на свою поінформованість.
Незабаром після Microsoft Google також випустив лютневі патчі, але для пристроїв Android. Дві з виправлених уразливостей фахівці оцінюють як критичні. Одна з яких дозволяє підвищити права на систему віддалено без будь-якої взаємодії з користувачем. Ще одна вразливість, яка отримала статус критичної, була виявлена в одному з компонентів із закритим кодом Qualcomm.
Що означають ці лютневі виправлення для Android?
CVE-2021-39675 — це ідентифікатор уразливості, яка отримала статус критичної. Хоча вона стосується лише поточної версії мобільної операційної системи Android 12. Фахівці з кібербезпеки відзначають, що цей вид уразливості активно використовується в добре організованих кампаніях кібершпигунства; Google не знайшов жодних доказів її використання в реальних атаках.
CVE-2021-30317 в Qualcomm стосується лише тих пристроїв, які використовують цей апаратний компонент.
Окрім двох критичних уразливостей, спеціалісти також виправили п’ять уразливостей високого рівня у Framework, чотири у Media Framework та сім у System. Крім того, серйозні проблеми торкнулися компонентів MediaTek, Amlogic і Unisoc.
Компанія поки не розкриває технічні деталі уразливостей з міркувань безпеки: виправлення повинні спочатку досягти мобільних пристроїв користувачів.
Прев’ю розробницької версії Android 13
Якщо вже говорити за Android і Google, ви певно чули, що 10 лютого Google випустив розроницьку версію Android 13 для своїх телефонів Pixel? Можливо і ні, але інсайдери в індустрії вже почали активно обговорювати , що ми можемо очікувати від користувацької версії Android 13. Хоча деякі експерти сумніваються в майбутньому «технопрориві» версії, деякі сперечаються, посилаючись на Android 12L, що вона, проте, може принести досить багатообіцяючі зміни. Дуже невелика кількість нових введень у змінах, що стосуються користувачів, привела до розпалу згаданих обговорень.
«Android 13 виконує ітерацію на Android 12, яка повторюється на Android 11, яка повторюється на Android 10, і так далі. Розробка для Android ніколи не припиняється, тому кожна нова функція, яка вчасно не готова до офіційного релізу переноситься на майбутній випуск”, – каже Мішаал Рахман, старший технічний редактор Esper і колишній головний редактор XDA Developers.
Чи буде нова версія Android простою ітерацією попередньої, переважно Android 12L, чи вона дійсно може бути чимось абсолютно новим? Єдине можна сказати напевно, що Android 13, швидше за все, отримає той самий дизайн, що й Android 12, оскільки Google не змінює мову матеріального дизайну щороку. Той же Мішаал Рахман стверджує, що цього не достатньо, щоб назвати нову версію ітеративною. Він додає, що в такому випадку кожне оновлення Android можна вважати ітеративним. За його власними словами, «сам по собі термін не має сенсу».
Як каже Рахман, Google зазвичай планує, які функції вони хочуть мати для кожної версії в кожному випуску. Наприклад, у Android 12 Google планував дебютувати Material You разом із більшістю змін в інтерфейсі та пов’язаними з ним функціями, такими як динамічний колір.
Схематичне зображення архітектури ОС Андроїд
Джитеш Убрані, менеджер з досліджень всесвітнього трекера пристроїв IDC, погоджується, що це може бути надто рано говорити щось про нову версію та її ітерацію від попередніх, «оскільки Google ще не показав ОС в деталях». Не можна робити остаточних суджень, говорячи лише про незначні оновлення. Навіть якщо оновлення дуже незначні, це, безумовно, не означає нічого поганого, і, до речі, Android 12 все ж приніс серйозні зміни. Фахівець пояснює, що Android 13, у свою чергу, запропонує подальше доопрацювання та, сподіваючись, подальше впровадження.
Нова версія Android 13 буде зосереджена насамперед на продуктивності, безпеці та конфіденційності. Попередній Android 12 мав дизайн, який, за словами багатьох спеціалістів, не сподобався багатьом користувачам, як про це писав у Адам Конвей із XDA Developers. Вони припускають, що з огляду на те, що ми бачили досі, «доволі незначне ітераційне покращення», нова версія Android, безумовно, буде ітерацією дизайну попередніх версій.
Статистика частки ринку Android за останні роки
У жовтні 2021 року Google випустила Android 12L, яка мала бути спеціальною версією Android 12, створеною виключно для пристроїв із великим екраном, таких як складані пристрої та планшети. З цього приводу експерти Android кажуть, що 12L можна вважати найстабільнішою версією 12, яка включає в себе гілку інтерфейсу для складних і планшетів.
У будь-якому випадку майбутня Android 13, схоже, здебільшого буде побудована на основі Android 12L. І оскільки це проміжний випуск, ми можемо очікувати більшого від користувальницької версії Android 13. За словами Рахмана, це пояснює, чому 12L не мав такої кількості нових функцій.
Аншел Саг, старший аналітик Moor Insights & Strategy, додає, що, незважаючи на те, що версія Android 12L не мала багато функцій, вона все ж є бажаним доповненням для більших форматів. В цьому є сенс, оскільки Android починає глибший захід на Windows і на складні форм-фактори.
Що потрібно Android 13, щоб виділитися?
Фахівці припускають, що в той час як Google робить все правильно зі змінами «режиму концентратора» та заставки, було б дуже цікаво подивитися, що компанія планує, щоб конкурувати з iPadOS.
Для Ubrani єдиною зміною, яка могла б значно підвищити успіх нової версії Android, була б можливість для Pixels передавати додатки на сусідні комп’ютери Chromebook або ПК. Він вважає, що ця функція допоможе Android багато в чому конкурувати з Apple.
Також слід покращити швидкість релізів, оскільки це все ще найбільший недолік Android. Користувачі та постачальники мають якнайскоріше отримувати останню версію. Google вже працює над цим роками, але цей процес займає багато часу. Можливо, подальше розділення ОС, надання попереднього прев’ю для розробників раніше або щось інше, що допоможе компанії прискорити процес оновлень.
Трохи терпіння – інколи те, що вам потрібно
Фахівці не радять користувачам встановлювати версії Android 13 для розробників. Тим, хто хоче побачити все першим, нова ОС може виявитися проблемною та зі збоями. Але це, безумовно, не зашкодить, якщо ви спробуєте нову версію на якомусь запасному телефоні або ПК, на якому можна запустити емулятор Android. Але пробувати цю версію на щоденному пристрої з драйвером користувача певною мірою несе ризик.
Убрані попереджає, що версія Android 13 для розробників все ще недостатньо пророблена, не має зручної установки та не дуже стабільна. Якщо звичайний користувач встановить її, то це принесе більше шкоди, ніж користі.
Ви також повинні знати, що багато програм відмовляються запускатися або обмежують доступні функції в збірках програмного забезпечення, які не відповідають CTS (набір тестів на сумісність). Саме так буде у вашому випадку, якщо ви встановите версію Android для розробників. Крім того, ви не отримуватимете жодних оновлень, оскільки розробники додатків або Google не визначає в пріоритеті надання підтримки користувачам, які використовують збірки Developer Preview.
