Praha, 9. března 2017 – Na Google Play byla objevena nová hrozba, která navazuje na dříve objevené škodlivé kódy Viking Horde, DressCode, CallJam a některé další. Malware nazvaný „Skinner“ byl vložen do herní aplikace, kterou si stáhlo už více než 10 000 uživatelů a podařilo se jí ukrývat na Google Play přes dva měsíce. Skinner sleduje polohu a aktivity uživatelů a může vzdáleně spustit kód z velícího a řídícího (Command and Control) serveru bez souhlasu uživatele. Aplikace byla odstraněna z Google Play po té, co společnost Check Point kontaktovala bezpečnostní tým Google. Adware je celkem běžnou hrozbou, ale Skinner využívá nové sofistikované techniky, které mu pomáhají vyhnout se detekci a maximalizovat zisky nebývale přesným cílením na uživatele. (TZ)
Malware obsahuje škodlivou knihovnu, která se rozbalí až po instalaci na zařízení. Skinner maskuje škodlivé části svého kódu, aby unikl odhalení. Škodlivé aktivity se spustí až poté, co malware detekuje aktivitu uživatele, jako je například spuštění aplikace. Je to jen další snaha obejít bezpečnostní opatření. Aplikace si tak kontroluje, jestli je spuštěna skutečným uživatelem nebo testována ochranou technologií. Navíc kontroluje řadu dalších podmínek, než se spustí, včetně absence připojeného debuggeru, emulátoru hardwaru a zda byla instalace provedena z Google Play. Všechna tato opatření znesnadňují detekci a odhalení hrozby. Po aktivaci posílá malware svému C&C serveru data o zařízení, která obsahují polohu a spuštěné aplikace a zároveň si vyžádává reklamy k zobrazení.
Skinner využívá pokročilé postupy pro zobrazení nelegitimní reklamy, aniž by vzbudil podezření. Zvyšuje tak pravděpodobnost, že uživatel na takovou reklamu klikne. Namísto pouhého zobrazení jakékoliv reklamy, malware kontroluje, jaký typ aplikace uživatel aktuálně používá a zobrazí odpovídající reklamu. Jedná se o zcela nové chování pro mobilní adware. Tento druh „marketingu“ na míru výrazně zvyšuje úspěšnost malwaru.
„Tato taktika je unikátní a zcela inovativní. Většina adwaru spoléhá na masové šíření. Skinner jde naopak cestou přesně cíleného infikování menšího počtu uživatelů, což ve výsledku generuje stejné příjmy, ale minimalizuje se riziko odhalení. Podobný přístup zcela jistě začnou využívat a ještě zdokonalí další adwary,“ říká Petr Kadrmas, Secuity Engineer Eastern Europe, Check Point Software Technologies.
I když se nejedná o masivní útok, Skinner znovu ukazuje, že uživatelé se nemohou spoléhat jen na stahování aplikací z legitimních obchodů. Pokud chtějí být v bezpečí, musí pro svou ochranu využívat i pokročilé bezpečnostní technologie. Skinner nejenom že nekopíruje běžně používané postupy, ale využívá modifikované maskovací techniky, takže je mnohem těžší jej odhalit. Hrozby se tak zase posouvají na novou úroveň.
Více informací najdete na blogu společnosti Check Point:
http://blog.checkpoint.com/2017/03/08/skinner-adware-rears-ugly-head-google-play/
Sledujte Check Point online:
Check Point Blog: http://blog.checkpoint.com/
Twitter: http://www.twitter.com/checkpointsw a www.twitter.com/CheckPointCzech
Facebook: http://www.facebook.com/checkpointsoftware
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
YouTube: http://www.youtube.com/user/CPGlobal
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je největší celosvětový dodavatel čistě bezpečnostních řešení. Chrání zákazníky před kyberútoky prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru a jiných typů útoků. Check Point nabízí kompletní bezpečnostní architekturu, která chrání vše od podnikových sítí až po mobilní zařízení, a navíc Check Point poskytuje i nejkomplexnější a nejintuitivnější správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí. Ve společnosti Check Point zabezpečujeme budoucnost.