Google ka publikuar një dokument që shpjegon teknikën e përdorur nga kriminelët kibernetikë për të shpërndarë malware përmes aplikacioneve Android të publikuara në Play Store. Kontrollet e sigurisë anashkalohen sepse kodi i infektuar shkarkohet pas instalimit. Kompania Mountain View ka dhënë disa këshilla për të kufizuar rreziqet.
Malware i fshehur me versioning
Google thekson se më pak se 1% e shkarkimeve nga Play Store janë PHA (aplikacione potencialisht të dëmshme). Truku më i përdorur për të kapërcyer çeqet quhet versioning . Autori paraqet një version “të pastër” të aplikacionit që kalon testet e kryera përpara publikimit. Kur numri i shkarkimeve ka tejkaluar një prag të caktuar (për të pasur një probabilitet më të lartë suksesi), sulmuesi shpërndan një përditësim nëpërmjet serverëve të palëve të treta që instalojnë kodin e malware.
Kjo formë më e zakonshme e versioning quhet Dynamic Code Loading (DCL). Në praktikë, shkarkimi i kodit që nuk është i pranishëm në paketën origjinale kryhet për të anashkaluar si kontrollet e para-publikimit ashtu edhe analizat statike. Në rastin e Android, është e mundur të shkarkohet kodi vendas, Dalvik ose JavaScript. Google pranon se teknika DCL është e vështirë të bllokohet nga ana e serverit.
Një nga malware-ët më të njohur që shfrytëzon këtë teknikë është SharkBot, një trojan bankar që kryen transferime të paautorizuara parash duke përdorur protokollin e Shërbimit të Transferimit të Automatizuar (ATS). SharkBot zakonisht fshihet në antiviruse dhe shërbime në dukje të padëmshme. Përveç versioning , shfrytëzohen edhe teknikat e mjegullimit të kodit.
Google rekomandon që gjithmonë t’u kushtoni vëmendje aplikacioneve që shkarkoni. Bizneset mund të përdorin zgjidhjet e menaxhimit të pajisjeve celulare (MDM) dhe të zbatojnë një listë lejesh për të lejuar vetëm shkarkimet e aplikacioneve që u nevojiten dhe nga zhvilluesit e besuar.
Discussion about this post