Czym dziś jest dla nas urządzenie mobilne? Dowodem osobistym, paszportem, portfelem, biletem lotniczym… to prawdziwy szwajcarski scyzoryk. Tym bardziej smutny jest raport Zscalera, który pokazuje, że między czerwcem 2024 a majem 2025 w oficjalnym (co istotne) dla Androida sklepie Google Play pobrano ponad 42 miliony zainfekowanych aplikacji. Przecież to jakaś tragedia.
Zscaler zauważa, że przestępcy odchodzą od klasycznych metod kradzieży kart kredytowych. Wyrafinowane chipy, kody, 2FA i biometryka sprawiły, że fizyczne oszustwa straciły sens. Teraz liczy się socjotechnika — phishing, smishing (oszustwa wykorzystujące SMS-y i podszywanie się pod zaufane instytucje) oraz fałszywe aplikacje bankowe.
Nowe pokolenie malware’u nie włamuje się siłą. Będzie Cię zwodzić, prosić o zgody, a realne intencje skrzętnie ukrywać. Phishingowe trojany: choćby Anatsa lub Xnotice, podszywają się pod aplikacje do pracy, finansów lub nauki. W tle zbierają dane logowania, kody MFA, SMS-y i zrzuty ekranu. Złośliwe oprogramowanie działa dziś jak konglomerat — przestępcy robią sobie tabelki skuteczności ich kampanii, aktualizują konfigurację kampanii w locie i bacznie obserwują trendy.
Anatomia złych intencji w liczbach
Tylko w ostatnich 12 miesiącach Zscaler wykrył 239 aplikacji z malware’em w Google Play — o prawie 20% więcej niż rok wcześniej. Łącznie odpowiadają one za 42 miliony instalacji. Raz jeszcze to powiem: tragedia.
Najczęstsze zagrożenia:
-
Adware – 69% wszystkich infekcji (dwukrotny wzrost w ciągu roku).
-
Joker — to jeden z klasycznych złodziejów danych — tu mamy spadek z 38% do 23% udziału.
-
Spyware – eksplozja o zawrotne 220% r/r; dominują rodziny SpyNote, SpyLoan i BadBazaar.
Dziś liczą się szantaż i inwigilacja. Stąd tak bardzo duża popularność spyware’u, który zdalnie włącza mikrofon, śledzi lokalizację, kopiuje SMS-y i zdjęcia. Często udaje aplikację do szybkich pożyczek lub komunikatory. Tutaj trzeba naprawdę mocno się wystrzegać. W Polsce programy związane (niby) z usługami pożyczkowymi są mało popularne, ale w innych krajach to spory rynek i… duży problem.
Trzej królowie
Pierwszy z wyróżnionych przez Zscaler trojanów, Anatsa, od 2020 roku regularnie infiltruje Google Play. Ukrywa się w aplikacjach narzędziowych i skierowanych do maniaków produktywności. Każda nowa wersja to setki tysięcy instalacji, zanim zostanie zdjęta. Google nie radzi sobie — tak naprawdę — z tym, co umieszcza się w oficjalnym repozytorium. To kuriozum: jednocześnie gigant zamierza zamknąć możliwość instalowania oprogramowania spoza oficjalnego repozytorium, ale przy okazji też nie kontroluje tego, co umieszcza się tam, gdzie niby ma być bezpiecznie.
Najświeższe mutacje potrafią okradać ponad 830 instytucji finansowych z całego świata, w tym giełdy kryptowalut i banki w Niemczech, Korei Południowej i innych państwach. W tym ujęciu Anatsa to wręcz szatański pomiot w kręgu złośliwego oprogramowania. „Projekt” jest cały czas rozwijany, dodawane są kolejne moduły i możliwości.
Wroga wtyczka do Android TV
Wychodzimy z kręgu telefonów wprost do poletka przeznaczonego dla większych, „usmartowionych” ekranów. Android Void (czasami też: Vo1d) to niesamowicie niebezpieczny backdoor — zainfekował co najmniej 1,6 miliona urządzeń z Android TV, głównie w Indiach i Brazylii. Wykorzystuje przestarzałe wersje systemu AOSP i zamienia telewizory z funkcjami smart w maszyny zombie uczestniczące w botnetowych kampaniach, m.in. atakach DDoS.
Przestępcy wykorzystują oczywisty fakt, iż ekosystem Androida nie kończy się na smartfonie. To przecież także telewizory, dekodery, zegarki, a nawet routery — każdy z nich to potencjalna luka w naszej domowej infrastrukturze.
Xnotice – trojan i rekruter
Xnotice podszywa się pod aplikacje do rekrutacji w zakresie ofert pracy i egzaminów zawodowych. To tyczy się na szczęście głównie Bliskiego Wschodu i sektora naftowego, który non stop jest tam najbardziej atrakcyjnym „dostarczycielem” pracy dla osób o przeróżnych kompetencjach. Atakuje przez fałszywe portale pracy, a gdy ofiara zainstaluje aplikację, trojan przejmuje dostęp do bankowości, wiadomości i kodów MFA. Kryptowaluty, hasła, prywatne dane, kasa na koncie ulatują w siną dal. Nawet cyfrowe serwisy headhunterskie mogą być ogromną pułapką.
IoT też pod ostrzałem
Raport Zscalera obejmuje nie tylko telefony. Najczęściej atakowanym urządzeniem IoT pozostaje stary, dobry router, co wykorzystuje się do rozprzestrzeniania botnetów i przekierowywania przez owe sprzęty ruchu. Jak wyżej, wszystko w imię DDoS lub podstawiania ofiarom złośliwych stron bezpośrednio na routerze.
Najwięcej ataków IoT odnotowano w USA, ale rosną także liczby z Hongkongu, Niemiec, Indii i Chin. Hakerom jest wszystko jedno, gdzie atakują. Niemniej, najbardziej interesujące są dla nich kraje, które się rozwijają: liczą bowiem, że świadomość społeczna rośnie tam wolniej, niż następują systematyczne obniżki cen sprzętu oraz usług internetowych przy okazji coraz wyższej siły nabywczej tamtejszych obywateli. I co najciekawsze, hakerzy prowadzą aktywne analizy w czasie rzeczywistym, jakie cele w globalnym Internecie opłaca się zaatakować. Mówimy tu o ujęciu demograficznym, psychospołecznym, ekonomicznym, a nawet kulturowym.
Co zrobić, aby nie dać się złapać?
Nawet w sklepie Google Play, który jest przecież tym oficjalnym, nie ma pełnej gwarancji bezpieczeństwa. Dobre praktyki w zakresie używania urządzeń mobilnych nie są niestety odruchami w szerokim przekroju społeczeństwa cyfrowego. Warto więc wiedzieć o podstawach higieny korzystania z jakichkolwiek sprzętów podłączonych do Sieci:
-
Instaluj aplikacje tylko od zaufanych wydawców.
-
Wyłącz opcje dostępności (Accesibility) i nie nadawaj do nich uprawnień aplikacjom, jeśli nie jest to niezbędne.
-
Regularnie uruchamiaj mechanizm Play Protect i aktualizuj system operacyjny: zarówno na telefonie, jak i na routerze i telewizorze.
- Nie tyczy się to bezpośrednio Androida, ale warto odnotować. Skoro hakerzy atakują sprzęty IoT, to zadbaj o aktualizacje także i smart-żarówek, termostatów, inteligentnych głośników, routerów, itp. Wszystko, co jest podłączone do Internetu, może być wektorem ataku.
-
Nie instaluj ogromnej ilości aplikacji przeznaczonych do podniesienia Twojej produktywności oraz mało istotnych narzędzi. Skoro ich nie potrzebujesz, to po co Ci one?
-
Monitoruj aktywność kart SIM, sprawdzaj ruch sieciowy, zauważaj dziwny, szybszy spadek wydajności baterii i wykorzystanie danych przez urządzenie. Każda anomalia może oznaczać infekcję.
Czytaj również: Google zamyka Androida? Oto, co dokładnie planuje gigant
To nie są problemy wieku dziecięcego
Ekosystem Google ma coś, czego hakerzy pragną. Popularność, masowość i atrakcyjna otwartość. Android ma to do siebie, że musi działać na sporym wachlarzu sprzętów różnych producentów, więc jego zabezpieczenia nie mogą być tak bardzo związane ze skutecznym tandemem rozwiązań software’owych oraz hardware’owych, jak w przypadku choćby urządzeń Apple. Posiadacze iPhone’ów również okresowo mierzą się z dziurami w zabezpieczeniach oraz złośliwym oprogramowaniem, ale o to jest tam zdecydowanie trudniej — mimo popularności. Wszystko ze względu na fakt, iż Apple steruje i kształtem oprogramowania, jak i urządzeń.
Co więc musisz zrobić? Uważać. Nic więcej. Telefon może być zabawką, ale też przyczyną realnych szkód dla Ciebie. Jeżeli Ty sobie nie pomożesz, nie pomoże Ci również wymiar sprawiedliwości. Twoje pieniądze i dane ulecą w świat i będziesz szukać wiatru w polu… o ile dasz się złapać.