Kaspersky Lab har avdekket flere apper i Google Play med trojaner-skadevare, disse er nå fjernet av Google. Trenden har pågått siden september i fjor, så nye trojanere vil sannsynligvis dukke opp.
Senioranalytiker Roman Unuchek hos Kaspersky Lab har avdekket apper i Google Play som tilhører Ztorg-klassen av trojanere.
I denne omgang er det snakk om appene Magic Browser og Noise Detector, og begge har nå blitt fjernet fra Google Play.
Trojaner-apper av typen Ztorg har vært på fremmarsj siden september i fjor, og Kaspersky har nå kommet med mer informasjon om dem.
Rooter enheten og sender dyre SMS-er
Trojanerne har hovedsakelig to typer funksjonalitet. En type med funksjonalitet som lar den utnytte sårbarheter for å roote enheten (oppnå administrativ tilgang). Skadevaren blir da langt vanskeligere å fjerne, og har i praksis frihet til å gjøre hva den vil, f.eks. laste ned mer skadevare, stjele personlig informasjon, vise plagsom reklame eller overvåke deg.
Den andre typen benytter SMS-funksjonalitet for å sende SMS-er til dyre premiumstjenester, som de kriminelle bakmennene tjener penger på. Dette trenger ikke trojaneren root-tilgang for å gjøre.
Omgår sikkerhetsrutiner i Google Play
Google skanner alle apper før de blir tillatt i Google Play, nettopp for å hindre at skadevare kommer inn. Ztorg-trojanerne omgår dette på to måter: Den ene måten gjør trojanerens programkode vanskelig å forstå eller skanne, såkalt “obfuskering”. Den andre metoden er ved å ganske enkelt lansere en ufarlig versjon av appen, uten noe skadelig funksjonalitet. Den skadelige funksjonaliteten legges så til en stund senere gjennom en oppdatering, som da gjør om appen til en trojaner.
Viktigere enn noen gang å være kritisk til ukjente apper
Det vi kan lære av dette er at cyberkriminelle setter fokus på å få skadevaren sin inn i legitime app-butikker. Når enhetene ikke tillater apper utenfra app-butikkene som standard, blir dette den eneste måten de kan infisere enhetene våre på. Vi ser også at de med relativt enkle grep kan omgå det som finnes av sikkerhetsmekanismer.
NorSIS anbefaler
Vær kritiske til ukjente apper i app-butikkene. Men husk at også kjente apper kan utgjøre en risiko, ved at de kriminelle lager en falsk app som utgir seg for å være f.eks. Snapchat, Messenger eller Candy Crush. Sjekke derfor utgiveren av appen, for å kontrollere at appen er ekte og offisiell.
Undersøk gjerne kommentarene for ukjente apper. I mange tilfeller blir forbrukere lokket til å installere apper (som kan være trojanere) ved at de blir tilbudt fordeler i et spill. Dette vil ofte komme frem i kommentarene, og kan være et faresignal dersom appen ikke generelt fremstår som åpenbart legitim.
Flere ganger har trojaner-apper blitt markedsført gjennom reklamer, enten vist i andre apper eller på nettsteder. Selv om man kan komme til skade for å trykke på en reklame ved et uhell, bør du likevel være obs og på vakt før du installerer en app linket til fra en reklame. Vær også obs på at appen som fremstilles i reklamen kan være en helt annen enn den som faktisk linkes til.
Vær også bevisst på sikkerhet for mobile enheter generelt. Sett deg inn i Ti tips for sikrere mobilbruk på Nettvett.no.
Kilder
Kaspersky blog – Ztorg Trojan: Infect yourself for 5 cents
Securelist – Ztorg: from rooting to SMS
Ars Technica – More Android apps from dangerous Ztorg family sneak into Google Play