Zdroj: Dotekomanie.cz
Domů » Články »
Jedním z nejrozšířenějšího malwaru pro Android je ten, který dokáže bez vědomí uživatele předplatit placené a prémiové služby. Jedná se o velmi populární malware, který jeho vývojáři neustále zdokonalují.
Škodlivý malware ohrožuje uživatele zařízení s Androidem
Tento malware, ve srovnání s jinými podvody typu odesíláním prémiových SMS a volání, má specifické chování, které je poměrně sofistikované a lze ho dělit do několika fází. Tyto útoky ve svém výchozím nastavení používají sítě mobilních operátorů a zařízení dokáží přinutit, aby se odpojilo od sítě Wi-Fi a připojilo na mobilní síť, kterou k provedení útoků potřebují. Samotný útok je pak složen z potvrzení odběru prémiové služby a dokonce i odchycení OTP procesu ověření přes SMS a deaktivaci notifikace o potvrzení odběru. Jak je patrné, útoky jsou opravdu promyšlené a samotný uživatel je prakticky nemá možnost odhalit až do chvíle, kdy zjistí, že mu byla naúčtována finanční částka.
Tyto útoky také využívají dynamického načítání kódu, což dělá mnohem těžším aplikace odhalit z hlediska škodlivého kódu. Škodlivý kód se mnohdy načítá až při konkrétní fázi probíhajícího útoku. I přes to se společnosti Microsoft podařilo identifikovat charakteristické rysy kódu, díky kterým lze lépe filtrovat a detekovat bezpečnostní hrozby v aplikaci. Svou měrou k tomu také přispívají omezení v samotném Android API a bezpečnostních mechanismech v obchodě Google Play. Historicky se tímto typem útoků poprvé proslavil malware Joker, který si v roce 2017 našel cestu do obchodu Google Play.
Aby bylo možné lépe porozumět tomu, jak tento malware funguje, je nutné se podívat především na to, jaký mechanismus útočníci používají. Běžným protokolem pro aktivaci předplatného je WAP (Wireless Application Protocol), což je v podstatě platební mechanismus, který umožňuje uživatelům se přihlásit k odběru ze stránek, které tento protokol podporují. Tento protokol umožňuje účtování poplatků například skrze účet za služby mobilního operátora. Uživatel zahájí relaci přes mobilní síť a přejde na webové stránky, kde je poskytována možnost odběru placené služby. Uživatel potvrdí přes odkaz odběr. V některých případech je uživateli zaslán jednorázový ověřovací kód skrze OTP ověřovací proces a tímto kódem se zákazník zpětně ověří. Tento proces je do jisté míry závislý na poskytovateli mobilních služeb a nemusí být vždy vyžadován. V opačném případě se odběr potvrzuje pouze kliknutím na odběrové tlačítko.
Pokud k odběru dojde bez vědomí/souhlasu uživatele, jedná se o podvodný odběr. Malware tohle vše umí a je natolik sofistikovaný, že dokáže vypnout Wi-Fi síť, zaznamenat jednorázové heslo, vypnout notifikace o potvrzovací SMS a mnoho dalšího. Aby bylo možné podvody minimalizovat, doporučuje se provést kroky, které do jisté míry dokáží před podobným malwarem ochránit:
- instalovat mobilní aplikace pouze z ověřeného zdroje, tedy z obchodu Google Play,
- ideálně zakázat aplikacím přístup k SMS,
- mít ideálně na zařízení antivirovou aplikaci pro detekci podobného škodlivého softwaru,
- mít takové zařízení, kde je ze strany výrobce zajištěna pravidelná aktualizace operačního systému.
Aplikace v obchodě Google Play, které využívají tyto podvodné mechanismy, jsou těmi nejrozšířenějšími a jsou zde detekovány zhruba od roku 2017. V prvním čtvrtletí roku 2022 tento typ aplikací představoval 34,8 % všech instalovaných aplikací s potenciálně škodlivým kódem, čímž se řadí na druhé místo hned za spywarem. Riziky spojenými s tímto druhem podvodných aplikací jsou právě zvýšené účtované poplatky v měsíčním vyúčtování za služby.
Zdroje: gsmarena.com, gsmarena.com, microsoft.com
Domů » Články »
Tecno Spark 8P je novinka s IPX2 a 5000mAh baterií
Stiknutím klávesy J se přesunete na starší článek, klávesa K vás přesune na novější.
💡 Získejte Dotekománie Premium a využijte web naplno.
Komentáře