Η Google εντείνει τα μέτρα κατά του sideloading στο Android, επιτρέποντας την εγκατάσταση εφαρμογών μόνο από επαληθευμένους προγραμματιστές, εκτός αν ο χρήστης ακολουθήσει επίπονες πρόσθετες διαδικασίες. Μια νέα προειδοποίηση εξηγεί γιατί αυτή η πολιτική είναι απολύτως αναγκαία.
Κακόβουλες εφαρμογές και μαζικά Takedowns
Η Google προχώρησε σε ενέργειες εναντίον δεκάδων κακόβουλων εφαρμογών που εκμεταλλεύονται το οικοσύστημα και τις cloud υπηρεσίες της για να επιτίθενται σε κινητά. Σύμφωνα με νέα έκθεση της Zimperium, τα takedowns εφαρμογών και λογαριασμών «βοηθούν στη μείωση της ενεργής κατάχρησης», αλλά το φαινόμενο παραμένει ένα παιχνίδι «whack-a-mole». Αυτό αναδεικνύει γιατί η ανίχνευση και πρόληψη σε επίπεδο συσκευής είναι κρίσιμη – κάτι που συνδέεται άμεσα με τις νέες on-device τεχνολογίες ελέγχου εφαρμογών της Google.
Απομιμήσεις δημοφιλών εφαρμογών
Η νέα καμπάνια επιθέσεων αντιγράφει δημοφιλείς εφαρμογές «όπως Google, YouTube, WhatsApp, Instagram, Facebook και TikTok», προειδοποιεί η Zimperium, «ώστε να παραπλανήσει τους χρήστες να κατεβάσουν κακόβουλο λογισμικό και να του παραχωρήσουν εκτεταμένες άδειες». Πρέπει να είστε ιδιαίτερα προσεκτικοί με κάθε replica app.
Πώς διανέμονται οι επικίνδυνες εφαρμογές
Οι εφαρμογές διανέμονται μέσω Telegram, Discord και MediaFire links, καθώς και παρόμοιων καναλιών, ενώ υποδύονται γνωστά brands. Συνήθως εμφανίζονται ως APKs δημοφιλών εφαρμογών, παρουσιασμένες ως «mod» ή «pro» εκδόσεις, πείθοντας τα θύματα ότι αποκτούν premium λειτουργίες.
Το κακόβουλο λογισμικό Arsink RAT
Αν πέσετε στην παγίδα, εγκαθίσταται στο κινητό σας το Arsink Remote Access Trojan (RAT). Αυτό παρέχει στους χάκερ εκτεταμένο έλεγχο της συσκευής, όπως:
- καταγραφή ήχου από το μικρόφωνο
- υποκλοπή μηνυμάτων, επαφών και στοιχείων λογαριασμών
- κλοπή φωτογραφιών και αρχείων
- πραγματοποίηση κλήσεων
- ακόμα και διαγραφή της συσκευής
Stealth επίθεση και μόνιμη παρουσία
Η επίθεση είναι αθόρυβη και επίμονη. Το RAT «κρύβει το εικονίδιο εκκίνησης», τρέχει ως foreground service που επιβιώνει από task killers και εμφανίζει μόνιμη ειδοποίηση για να αποτρέψει τον τερματισμό του. Παράλληλα, διατηρεί συνεχή σύνδεση με τους χειριστές του.
Παγκόσμια εξάπλωση
Η επιχείρηση Arsink έχει παγκόσμιο αποτύπωμα και δεν περιορίζεται σε συγκεκριμένη περιοχή. Από ανάλυση τηλεμετρίας θυμάτων και δημόσιων C2 dumps, εντοπίστηκαν περίπου 45.000 μοναδικές μολυσμένες IP διευθύνσεις σε 143 χώρες, σε Μέση Ανατολή, Ασία, Αφρική, Ευρώπη και Αμερική.
Τι πρέπει να κάνετε για προστασία
Η οδηγία είναι ξεκάθαρη:
- Μην εγκαθιστάτε δημοφιλείς εφαρμογές ή παραλλαγές τους από messengers, forums ή άμεσους συνδέσμους
- Χρησιμοποιείτε μόνο το Google Play Store ή άλλα επίσημα καταστήματα
- Αποφύγετε κάθε «mod» ή «pro» έκδοση
- Βεβαιωθείτε ότι το Play Protect είναι ενεργοποιημένο και μην απενεργοποιείτε την προστασία για να εγκαταστήσετε εφαρμογές
Η Google επιβεβαιώνει ότι το συγκεκριμένο RAT δεν έχει εντοπιστεί σε εφαρμογές του Play Store και ότι το Play Protect προστατεύει ενεργά τους χρήστες όταν είναι ενεργό.
