Lepiej sprawdź telefon. Jeśli zainstalowałeś te pliki, możesz mieć duże kłopoty
W Sieci pojawiły się fałszywe instalatory programów, które stanowią bezpośrednie zagrożenie dla cyberbezpieczeństwa smartfonów i pecetów. Choć na pierwszy rzut oka sprawiają wrażenie, że mamy do czynienia z instalatorami popularnych antywirusów, to w praktyce programy kradną dane i nadużywają uprawnień.
Trojany w postaci antywirusów
Producent oprogramowania antywirusowego Trellix poinformował o nowej kampanii dystrybucji złośliwego oprogramowania. Trojany przybierają postać popularnych antywirusów, Avasta, Bitdefendera, Malwarebytes czy właśnie produktów Trelliksa i infekują smartfony z Androidem i komputery z Windowsem złośliwym oprogramowaniem.
Kluczowe w dystrybucji trojanów są strony, z których można pobrać pliki instalacyjne. Dlatego warto zapamiętać ich adresy i nazwy tychże plików:
- avast-securedownload.com - Avast.apk,
- bitdefender-app.com - setup-win-x86-x64.exe.zip,
- malwarebytes.pro - MBSetup.rar,
- Trellix - AMCoreDat.exe.
Na stronach znajdziemy wiernie kopie prawdziwych witryn producentów oprogramowania antywirusowego, przez co można nawet nie zauważyć, że zamiast antywirusów pobiera się malware.
Fałszywe APK antywirusa Avast
W przypadku podróbek Avasta cyberprzestępcy skupili się na infekowaniu przede wszystkim smartfonów z Androidem. Na swoich stronach, zamiast odsyłać do karty antywirusa w sklepie Google Play, umożliwiają pobranie pliku APK do samodzielnej, ręcznej instalacji na urządzeniach z Androidem.
Dzięki temu po instalacji fałszywy Avast może nadużywać uprawnień, które są następnie wykorzystywane do zdalnego instalowania i usuwania innych zainstalowanych na urządzeniu aplikacji, odczytywania rejestru połączeń, tresci SMS-ów, listy kontaktów, plików w pamięci i informacji o urządzeniu.
Trojan może także modyfikować ustawienia sieci, nagrywać dźwięk bez wiedzy użytkownika, wyłączać ochronę klawiatury wirtualnej (co służy do kradzieży wpisywanych haseł) czy zmieniać tapetę.
Pecetowe trojany o szerokich możliwościach
Nie mniej groźne są trojany przedstawiające się jako instalatory BitDefednera, Malwarebytes i Trelliksa, choć w ich przypadku atakowane są nie urządzenia mobilne, lecz komputery z Windowsem. Podobnie, jak w przypadku Avasta, wszystko zaczyna się od wiernej kopii strony oprogramowania antywirusowego.
Po pobraniu archiwum z instalatorem lub pliku wykonywalnego oprogramowanie zbiera szczegółowe informacje o komputerze i wykrada je, przesyłając na zewnętrzne serwery. W ręce napastników trafiają m.in. ciasteczka z przeglądarek, historia przeglądania, dane o urządzeniu, parametrach ekranu, co służy identyfikacji konkretnych zainfekowanych maszyn w celu dalszych ataków.
Uwaga na wyniki w Google
Możliwości złośliwego oprogramowania mogą się różnić i być rozszerzone np. o kradzież danych logowania do zainstalowanych na urządzeniu komunikatorów. Można się spodziewać, że osoby odpowiadające za kampanię będą próbowały wykupić reklamy zapewniające wysoką pozycję w wynikach wyszukiwania Google. Zachodzić może ryzyko, że zamiast na prawdziwe witryny, będziemy trafiać na fałszywe witryny z trojanami, co już nie raz miało miejsce.
