מעבדת קספרסקי: קוד זדוני לומד לעקוף מנגנוני חסימה של חנות גוגל פליי

bigstockphoto.com IsraelDefense

מומחי מעבדת קספרסקי גילו טרויאני לאנדרואיד בשם "גרילה", המנסה להתגבר על מנגנוני חסימת ההונאות של חנות גוגל פליי. הוא משתמש באפליקציית קצה עבריינית המתנהגת כאילו יש אדם אמיתי מאחוריה. אפליקציה מזויפת זו מאפשרת לתוקפים, באמצעות מכשירים נגועים, לבצע קמפיינים פרסומיים מפוקפקים במטרה להוריד, להתקין, לדרג ולהגיב על אפליקציות ניידות הנמצאות בגוגל פליי. הקוד הזדוני מסוגל לעקוף את המנגנונים רק ממכשירים פרוצים (rooted).

כפלטפורמה עבור מיליוני משתמשים ומפתחי תוכנה, גוגל פליי היא מטרה אטרקטיבית עבור עברייני סייבר. בין היתר, עברייני סייבר משתמשים בחנות גוגל פליי כדי לערוך קמפיינים המכונים Shaubang, הנפוצים במיוחד בסין. אלו הן פעילויות קידום מזויפות שנועדו לקדם אפליקציות לגיטימיות באמצעות מתן דירוגים גבוהים, הגברת קצב ההורדות ופרסום תגובות חיוביות אודותיהן בגוגל פליי.

האפליקציות המשמשות כדי לערוץ קמפיינים פרסומיים שכאלה בדרך כלל אינן מהוות איום "רגיל" לבעלים של המכשיר הנגוע, בשונה מתוכנות לגניבת נתונים או כסף, אבל הן עדיין יכולות לפגוע: היכולת להוריד אפליקציות נוספות אל המכשיר הנגוע גוררת חיובים נוספים של תעבורת אינטרנט, ובמקרים מיוחדים אפליקציות Shabang מסוגלות להתקין תוכנות בתשלום בחשאי, לצד תוכנות חינמיות, באמצעות שימוש בפרטי כרטיס האשראי הקשור לחשבון הגוגל פליי של הקורבן.

כדי לערוך קמפיינים אלה, העבריינים יוצרים מספר חשבונות גוגל פליי מזויפים או מדביקים מכשירים בקוד זדוני מיוחד, אשר מבצע פעולות בגוגל פליי באופן סמוי בהתבסס על פקודות המתקבלות מהאקרים. למרות שלגוגל פליי יש מנגנוני הגנה חזקים, אשר מסייעים לזהות ולחסום משתמשים מזויפים וכדי למנוע פעולות הונאה, נראה כי הכותבים של הטרויאני גרילה עשו מאמצים להתגבר עליהם.

הטרויאני חודר למכשיר המטרה באמצעות ה- rootkit Leech -קוד זדוני המעניק לתוקף הרשאות למכשיר הנגוע. הרשאות אלו מעניקות לתוקף גישה בלתי מוגבלת לטפל בנתונים במכשיר. בין היתר, הוא מעניק לו גישה אל שם המשתמש, סיסמאות וטוקן של אימות, הנדרשים כדי לבצע תקשורת של אפליקציה עם השירותים הרשמיים של גוגל. פרטים אלה אינם נגישים עבור אפליקציות רגילות במכשירים שלא נפרצו (rooted). לאחר התקנה, הטרויאני "גרילה" משתמש בנתונים אלה כדי לתקשר עם החנות של גוגל כאילו היה אפליקציה אמתית בגוגל פליי.

העבריינים זהירים מאוד: הם זהירים מספיק כדי להשתמש בנתוני אימות של משתמשים אמיתיים, והם גם גרמו לבקשות מאפליקציות קצה מזויפות אל גוגל פליי, להיראות כמו בקשות הנוצרות באפליקציות אמתיות. דבר חריג נוסף בטרויאני זה, הוא שכותבי הקוד ניסו לחקות את הדרך בה משתמש אמיתי פועל בחנות. לדוגמא, לפני שהוא מבקש עמוד בו נמצאת אפליקציה מסוימת הוא מבצע חיפוש אחר האפליקציה, בדיוק כמו שיעשה משתמש אנושי כאשר הוא מנסה לאתר אפליקציה.

"גרילה היא לא האפליקציה הזדונית הראשונה המנסה לפעול בגוגל פליי, אבל היא עושה זאת בדרך די מתוחכמת שלא ראינו לפני כן. החשיבה מאחורי השיטה ברורה: גוגל יכולה כנראה לזהות בקלות בקשות אל גוגל פליי המגיעות מרובוטים -רוב הקוד הזדוני מסוג Shaubang שאנו מכירים פשוט שולח באופן אוטומטי בקשות עבור עמוד מסוים של אפליקציה. זה לא משהו שמשתמש אנושי יעשה, ולכן קל לגוגל לזהות כי הבקשה אינה באמת ממשתמש מורשה. קשה בהרבה לזהות קוד זדוני המחפש אחר אפליקציה לפני שהוא ניגש לעמוד  שלה. חשוב לציין כי קוד זדוני זה מסוגל לפעול רק מול מנגנוני גוגל פליי מתוך מכשירים פרוצים, דבר שמזכיר לנו פעם נוספת כי חשוב להימנע משימוש בסמארטפונים וטאבלטים פרוצים מבוססי אנדרואיד"

הדוח המלא  ב- Securelist.com