"Pircēja vīruss." Ceļ trauksmi par jaunu telefonu ļaunatūru

Ilustratīvs attēls.

FOTO: Unsplash

Jaunais telefonvīruss pagaidām "mērķē" uz iepirkšanās aplikācijām, taču tam ir potenciāls kļūt arī krietni bīstamākam. Firmas "Kaspersky" pētnieki konstatējuši, ka šī Trojas zirga tipa lietotne terorizē lietotājus ar nelūgtām reklāmām un veicina tiešsaistes iepirkšanās lietotņu instalēšanu, tādējādi piemuļķojot gan lietotājus, gan reklāmdevējus. Šī ļaunlietotne slepus no ierīces īpašnieka apmeklē viedtālruņu lietotņu veikalus, lejupielādē un palaiž lietotnes, kā arī lietotāja vārdā atstāj viltus atsauksmes.

Tā kā veikalos sākas ziemas izpārdošanas, gan lietotājiem, gan zīmoliem ir jābūt piesardzīgiem. Izvēloties veikalus, lietotāji lielā mērā paļaujas uz atsauksmēm, savukārt mazumtirgotāji palielina pārdošanas veicināšanas un reklāmas budžetu.

Izrādās, ka ne vieni, ne otri nedrīkst pilnīgi uzticēties internetā redzamajam, jo jauna Trojas zirga veida lietotne paaugstina populāru iepirkšanās lietotņu vērtējumu un instalāciju skaitu, kā arī izplata neskaitāmas reklāmas, kas var aizkaitināt lietotājus.

Kā norāda "Kaspersky" pārstāvji, par "Pircēju" iedēvētais Trojas zirgs vispirms piesaistīja pētnieku uzmanību ar plašu "Google" pieejamības pakalpojuma traucēšanu un lietošanu. Šis pakalpojums ir paredzēts, lai palīdzētu invalīdiem, un ļauj lietotājiem iestatīt balsi, kas lasa priekšā lietotnes saturu, un automatizēt mijiedarbību ar lietotāja saskarni, taču uzbrucēju rokās šis līdzeklis rada nopietnu apdraudējumu ierīces īpašniekam.

Kad ļaunprogrammatūra ir saņēmusi atļauju izmantot šo pakalpojumu, tā var iegūt gandrīz neierobežotas iespējas mijiedarboties ar sistēmas saskarni un lietotnēm.

Tā var vākt ekrānā redzamos datus, piespiest pogas un pat emulēt lietotāja žestus. Pagaidām nav zināms, kā ļaunlietotne tiek izplatīta, taču "Kaspersky" pētnieki domā, ka ierīču īpašnieki to var būt lejupielādējuši no krāpnieciskām reklāmām vai trešu personu lietotņu veikaliem, kad cenšas iegūt likumīgu lietotni.

Lietotne maskējas par sistēmas lietotni un, lai slēptos no lietotāja, izmanto sistēmas ikonu ar nosaukumu "ConfigAPKs". Pēc ekrāna atbloķēšanas lietotne sāk darboties, apkopo informāciju par upura ierīci un nosūta to uz uzbrucēja serveriem. Serveris atsūta atpakaļ lietotnei izpildāmās komandas.

Atkarībā no komandām lietotne var rīkoties šādi - izmantot ierīces īpašnieka "Google" vai "Facebook" kontu, lai reģistrētos populārās iepirkšanās un izklaides lietotnēs, tostarp "AliExpress", "Lazada", "Zalora", "Shein", "Joom", "Likee" un "Alibaba".

Ierīces īpašnieka vārdā tiek atstātas atsauksmes par lietotnēm "Google Play". Lietotne arī pārbauda pieejamības pakalpojuma lietošanas tiesības. Ja atļauja nav piešķirta, lietotne nosūta pikšķerēšanas pieprasījumu, lai to saņemtu.

Tā izslēdz "Google Play Protect". Tas ir līdzeklis, kas pirms lietotņu lejupielādēšanas no "Google Play Store" pārbauda to drošumu. Neredzamā logā lietotne atver no attālā servera saņemtās saites un neparādīties lietotņu izvēlnē, kad ir atbloķēti vairāki logi.

Lietotne rāda reklāmas, atbloķējot ierīces ekrānu, un lietotņu izvēlnē izveidot etiķetes ieteiktajām reklāmām. Pēcāk ļaunatūra lejupielādē lietotnes no "tirgus" Apkpure[.]com un instalē tās, atver un lejupielādē "Google Play" reklamētās lietotnes. Instalēto lietotņu etiķetes tiek aizstātas ar reklamēto lapu etiķetēm.

Vislielākā daļa lietotāju, kas 2019. gada oktobrī un novembrī ir inficējušies ar "Trojan-Dropper.AndroidOS.Shopper.a", bija Krievijā - satriecoši 28,46 % visu lietotāju, kas cietuši no šopoholiskās lietotnes, atradās šajā valstī. Gandrīz piektdaļa (18,70 %) inficēšanos bija Brazīlijā, un 14,23 % - Indijā.

"Lai gan pašlaik šīs ļaunlietotnes izraisītās patiesās briesmas aprobežojas ar nelūgtām reklāmām, kā arī cietušo vārdā sniegtām neīstām atsauksmēm un vērtējumiem, nevar garantēt, ka šīs ļaunprogrammatūras izstrādātāji nenomainīs šo vērtumu ar kaut ko citu.

Līdz šim ļaunlietotne ir pievērsusies mazumtirdzniecībai, taču tās iespējas ļauj uzbrucējiem izplatīt pseidoinformāciju, izmantojot lietotāju sociālo mediju kontus un citas platformas.

Piemēram, tā var automātiski publicēt lietotāju kontu personiskajās lapās videofilmas, kas ietver jebko, ko "Pircēja" operatori vēlas, un pārplūdināt internetu ar neuzticamu informāciju," norāda "Kaspersky" vadītājs Baltijā Andis Šteinmanis.

"Kaspersky" izstrādājumi sekmīgi nosaka un bloķē ļaunprogrammatūru "Pircējs" ar noteikšanas nosaukumu "Trojan-Dropper.AndroidOS.Shopper". 

Lai mazinātu inficēšanās risku ar šāda veida ļaunprogrammatūrām, lietotājiem ir ieteicams ievērot šos ieteikumus - jāuzmanās no lietotnēm, kas pieprasa pieejamības pakalpojuma izmantošanu, ja lietotne nav paredzēta izmantošanai ar šo funkciju.

Vienmēr jāpārbauda lietotņu atļaujas, lai uzzinātu, ko ir atļauts darīt instalētajām lietotnēm. Nedrīkst instalēt lietotnes no neuzticamiem avotiem, pat ja tās tiek aktīvi reklamētas, un viedtālruņa iestatījumos bloķējiet programmu instalēšanu no nezināmiem avotiem.

Nepieciešams izmantot stipru mobilo ierīču drošības risinājumus, piemēram, "Kaspersky Internet Security for Android" kas var palīdzēt identificēt lejupielādēto lietotņu potenciāli bīstamus vai apšaubāmus pieprasījumus un izskaidrot ar dažādu veidu vispārīgām atļaujām saistītos riskus.

Uz augšu