Kibernetički kriminalci počeli su koristiti progresivne web aplikacije (PWA) za svoje zlonamjerne aktivnosti na Android uređajima, a stručnjaci upozoravaju da tako kradu vjerodajnice za prijavu, podatke o kripto novčanicima, GPS informacije i još mnogo toga, piše techradar.com.
Sigurnosni istraživači iz tvrtke Malwarebytes nedavno su detaljno opisali jednu takvu kampanju koju su uočili, a koja započinje phishing e-poštom koja mami ljude na lažnu Googleovu stranicu pod nazivom google-prism[dot]com.
Na toj stranici, pod izlikom poboljšanja sigurnosti, žrtve se vodi kroz “sigurnosnu” provjeru u četiri koraka, što uključuje i instalaciju zlonamjerne progresivne web aplikacije.
Za one koji nisu upoznati, PWA su u osnovi web stranice koje se mogu instalirati i pokretati poput uobičajenih aplikacija na uređaju, ali funkcioniraju putem web preglednika, što im omogućuje određene prednosti koje napadači zloupotrebljavaju.
Nakon instalacije, zlonamjerna aplikacija traži dopuštenja za slanje obavijesti, pristup podacima iz međuspremnika (clipboarda) i druge značajke preglednika, te postavlja takozvani “service worker” koji omogućuje push obavijesti i obavljanje zadataka u pozadini.
Tada malver počinje prikupljati podatke svaki put kada je aplikacija otvorena. Na meti su sadržaj međuspremnika, adrese kripto novčanika, jednokratne lozinke koje stižu putem WebOTP API-ja, kontakti, GPS podaci, kao i detalji za identifikaciju uređaja.
Budući da se informacije mogu prikupljati samo dok je aplikacija aktivna, PWA će početi slati lažne push obavijesti kako bi navela žrtvu da je što češće otvara. Osim krađe podataka, aplikacija uspostavlja i relej temeljen na WebSocketu te funkcionira kao HTTP proxy, što napadačima omogućuje da preusmjeravaju web zahtjeve, skeniraju interne mreže pa čak i pristupaju lokalnim resursima na kompromitiranom uređaju.
Dodatna opasnost u obliku “sigurnosne nadogradnje”
U nekim slučajevima, kako navodi Malwarebytes, žrtvu se potiče da preuzme i “prateću aplikaciju” koja se reklamira kao “kritična sigurnosna nadogradnja”. Ta aplikacija, namijenjena lakovjernijim korisnicima, traži znatno šira dopuštenja i registrira se kao administrator uređaja.
To omogućuje napadačima dublji pristup sustavu, uključujući presretanje SMS poruka, bilježenje pritisaka na tipke putem prilagođene tipkovnice, praćenje obavijesti, krađu vjerodajnica i osiguravanje dugotrajne prisutnosti na uređaju.
Kako ukloniti zlonamjernu aplikaciju
Ako sumnjate da ste instalirali takvu aplikaciju, možete je pokušati ukloniti tako da na popisu instaliranih aplikacija potražite unos pod nazivom “Security Check”. U slučaju da na uređaju pronađete aplikaciju naziva “System Service” s nazivom paketa “com.device.sync”, koja ima administratorski pristup, prvo joj morate oduzeti taj pristup. To možete učiniti odlaskom u Postavke – Sigurnost – Aplikacije za administraciju uređaja (Settings – Security – Device admin apps), a nakon toga je možete deinstalirati.
