Sklep Google Play to siedlisko szkodliwego oprogramowania. Nie uwierzysz, jak łatwo je tam dodać

Najnowszy raport firmy Kaspersky ujawnia ryzyko czyhające na wszystkich użytkowników sklepu Google Play. Cyberprzestępcy zawsze znajdą sposób, by obejść obowiązujące zabezpieczenia, a pomóc mogą im w tym deweloperzy, których działalność na pierwszy rzut oka prezentuje się niewinnie.
Malware w Google Play
Malware w Google Play

Sklepy z aplikacjami mobilnymi mają renomę miejsc, gdzie bezpieczeństwo użytkowników stawiane jest na wysokiej pozycji. Wydaje się, że już samo pojawienie się w sklepie powinno być to wystarczający dowód na nieszkodliwość. Od 2017 roku w Google Play znajdziemy dedykowaną sekcję “Play Protect” z narzędziami skanującymi każdą aplikację przed jej pobraniem. Ta sama funkcja może też weryfikować aplikacje na naszym smartfonie, które pochodzą z innych źródeł i ma prawo do ich dezaktywacji, gdy są zagrożeniem dla systemu. Tak naprawdę podobne rozwiązania istniały dużo wcześniej, po prostu nikt nie ubrał ich w chwytliwą, marketingową nazwę.

To, że Play Protect istnieje, warto docenić. Czy jednak działa na tyle dobrze, by można było mu w pełni zaufać? Okazuje się, że tutaj już nie mamy stuprocentowej pewności.

Do sklepu Google Play wchodzą tylnymi drzwiami

W sklepie Google Play znajdują się miliony aplikacji, nie dziwi więc, że trudno w pełni nad wszystkimi zapanować. Niektórzy deweloperzy nie aktualizują już swoich produktów, inni nie mają już znaczącej bazy użytkowników, ale stworzone przez nich narzędzia nadal są ciekawe. Nie zapominajmy też o grach, które stanowią znaczny procent wszystkich programów, jakie możemy znaleźć w sklepie Google Play. Pod płaszczykiem niewinnej rozgrywki może kryć się sporo więcej niepokojącego oprogramowania. 

Czytaj też: Cyber(nie)bezpieczeństwo w Polsce – wyniki kontroli NIK nie pozostawiają złudzeń (chip.pl)

Badacze pracujący dla firmy Kaspersky nie skupili się na tym, co widać po pobraniu aplikacji. Zamiast tego postanowili wejść do Darknetu. Najsłabszym ogniwem mechanizmu zabezpieczeń okazali się… deweloperzy. Pracownicy Kaspersky sprawdzili 9 różnych forów, na których znaleźli oferty wejścia do sklepu Google Play ze swoim oprogramowaniem. Internauci sprzedają tzw. loadery – narzędzia deweloperskie do modyfikacji i wgrywania kodu w obrębie aplikacji za pośrednictwem aktualizacji. Często aktualizacja ze szkodliwym oprogramowaniem jest niezbędna, by program działał ponownie.

Przykładowa oferta na włam do Google Play

Cena za takie rozwiązanie różni się w zależności od wielu czynników. Najwięcej płaci się za aplikowanie szkodliwego oprogramowania przez aplikacje o dużej liczbie pobrań i z dobrze zaprojektowanym interfejsem. Za dodatkową opłatą cyberprzestępcy mogą poprosić o maskowanie ich złośliwego kodu oraz o promocję poprzez Google Ads. Najbardziej okazałe oferty opiewają na 20000 dolarów, ale zdarzają się też mniejsze, które zaczynają się nawet od 200 dolarów. Kupujący mogą nie tylko wykupić dostęp, ale i wypożyczyć go lub otrzymać go za dzielenie się zyskami.

Transakcja pozwala cyberprzestępcom na zachowanie czystych rąk – instalacją mogą zająć się sprzedawcy z Darknetu, przez co kupujący unika kontaktu z Google Play. Co prawda w ten sposób cyberprzestępca mógłby zostać oszukany przez dewelopera, ale jak wskazują przedstawiciele Kaspersky, działającym w Darknecie mocno zależy na swojej reputacji.

Google Play sprawdza aplikacje, ale malware czai się wszędzie

Jakie aplikacje są najczęstszym siedliskiem dla złośliwego oprogramowania? Według Kaspersky malware czai się najczęściej w aplikacjach śledzących kursy kryptowalut, programach do zarządzania finansami, skanerach kodów QR czy… aplikacjach randkowych. Wysoko są też klawiatury czy skanery zdrowia. W samym 2022 roku odnotowano ponad 1,6 miliona ataków na urządzenia mobilne.

Jak zabezpieczyć się przed zagrożeniami Google Play? Przede wszystkim zwiększyć czujność

Naruszenie zaufania wobec Google z pewnością stanie się przyczynkiem do jeszcze dokładniejszej weryfikacji deweloperów, którzy publikują treści w sklepie Google Play. Jednak jak już wspomniałem wcześniej, cyberprzestępcy zawsze będą szukali luk, by wykorzystać każdą furtkę nim ta zostanie zamknięta. W dodatku jeżeli użytkownik poprzednio korzystał z aplikacji i ta nie sprawiała problemów, naturalnie zgodzi się na aktualizację do najnowszej wersji. To, że będzie w niej złośliwe oprogramowanie, może być już nie do zauważenia. 

Czytaj też: Prace nad ustawą o cyberbezpieczeństwie nadal trwają, a już jest… nieaktualna (chip.pl) 

Jak się zabezpieczyć? Przede wszystkim sprawdzać, czy nie ma nowych aktualizacji zabezpieczeń dla systemu Android. Coraz więcej producentów deklaruje wieloletnie wsparcie poprawkami bezpieczeństwa. Aktualizację oprogramowania możemy znaleźć wchodząc w ustawienia, a następnie przechodząc do informacji o urządzeniu. Tam, w zależności od producenta, będzie ona dostępna po kliknięciu na informację o aktualnej wersji nakładki lub w zakładce “Aktualizacja oprogramowania”. W ogłoszeniach sprzedaży deweloperzy zaznaczają, że rozwiązanie działa na smartfonach z Androidem do wersji 12, więc jeśli macie możliwość przejścia na najnowszy wariant systemu od Google, warto to zrobić.

Podpowiedzią wskazującą na ukryty atak hakerów mogą okazać się też prośby o nowe uprawnienia. Jeżeli aplikacja do skanowania kodów QR będzie potrzebowała danych o lokalizacji lub informacji o urządzeniach w pobliżu, możemy podejrzewać, że coś jest tu nie na miejscu. Zwiększone użycie danych czy wyższa temperatura urządzenia przy korzystaniu także mogą budzić pewne obawy. Przydatna może okazać się też sekcja komentarzy, gdzie użytkownicy niejednokrotnie karcą deweloperów za pracę aplikacji. Najważniejszy jest jednak rozsądek.