Az ESET kutatói nemrégiben 13 új, adatlopási céllal készített alkalmazást fedeztek fel a Google Play áruházban, amelyek kifejezetten az Instagram felhasználók belépési adatainak megszerzésére készültek. Az ESET figyelmeztetése után mind a 13 alkalmazást eltávolították Google Play áruházból, addigra viszont összesen 1,5 millió felhasználó töltötte le azokat.

Az alkalmazások Android/Spy.Inazigram kártevőt tartalmaztak és egy távoli szerverre továbbították a hamis alkalmazások révén megszerzett Instagram adatokat. Hogy növeljék a letöltések számát, azzal az ígérettel tették vonzóbbá az alkalmazásokat az Instagram felhasználók számára, hogy követőik száma nagymértékben növekedni fog, a lájkok és hozzászólások számával együtt. Később ezeket a fiókokat más felhasználók követőtáborának növelésére is felhasználták.

Az adattolvaj alkalmazások egyike, az "Instagram Followers" például egy az eredetihez egészen hasonló belépőablakot használt. Miután a felhasználó bejelentkezett, nem tudott belépni a fiókjába, hanem egy "Helytelen jelszó" üzenetbe ütközött.

Forrás: ESET

Mi lesz az ellopott adatokkal?

A feltört fiókok révén kéretlen üzeneteket (spam) és hirdetéseket küldhetnek a felhasználó nevében, illetve egyéb üzleti célokra is felhasználhatják az Instagram oldalukat. Az ESET közleménye megjegyzi: több helyen kínálnak illegális Instagram követőtábor-növelést ígérő csomagokat, amelyek legértékesebb részei a követők mellett a lájkok és a hozzászólások lehetősége.

A fenti alkalmazások letöltése után, annak ikonja megjelenik az installált alkalmazások között, továbbá az Instagram is figyelmeztetést küld arról, hogy valaki megpróbált belépni a felhasználó fiókjába. Ezután jelentősen megugrik a követőik száma, vagy válaszüzeneteket kaphatnak olyan kommentekre, amiket nem is mi írtak.

Ha már megtörtént a baj

Ha sikerült belefutni egy ilyen fertőzött programba, akkor az ESET szakemberei azt tanácsolják, hogy

  • a készülék védelme érdekében töröljék a programot az Alkalmazáskezelőben,
  • vagy használjanak megbízható mobilvédelmi megoldást a veszélyes elemek eltávolítására.
  • Az Instagram fiók biztonságának érdekében azonnal változtassák meg jelszavukat! Amennyiben ugyanazt a jelszót több platformon használják, azokat is tanácsos megváltoztatni.

A szakemberek továbbá azt tanácsolják, hogy mielőtt egy Google Play alkalmazást letöltenénk

  • nézzük meg, mennyire népszerű az alkalmazás a letöltések száma, az értékelések és legfőképp a vélemények alapján;
  • ha kétségeink támadnak, válasszunk Top Developer elnevezésű programot, vagy a különböző megbízható médiumok szerkesztői ajánlásai alapján töltsünk le alkalmazásokat.

Még egy csapda

A fejlesztők azonban még egy trükkös alkalmazásfajta csapdájára is figyelmeztetnek. Szintén a Google Play áruházon keresztül támad néhány megtévesztő alkalmazás, amelyek tolakodó hirdetések megjelenítésével kényszerítik a felhasználókat, hogy magas értékelést adjanak, ezzel feltornázva a népszerűségi mutatóikat az áruházban. Az ESET kimutatásai szerint az ilyen hirdető applikációk összesen mintegy 800 ezer telepítést generáltak ezidáig.

Forrás: ESET

Az ESET által detektált Android/Hiddad.BZ nevű trójai hirdetőprogramot rejtő alkalmazásokat már több mint 5000 felhasználó töltötte le, hogy YouTube tartalmakat érhessen el. Az alkalmazások a jól ismert módszerrel - hirdetések folyamatos, agresszív megjelenítésével - kértek 5 csillagos értékelést, azzal a hamis ígérettel, hogy utána eltávolítják a hirdetéseket.

Agresszorok

Az egyik ilyen agresszívan támadó alkalmazás, a Subway Sonic Surf Jump, az androidos vásárlókat veszélyeztetni és olyan hamis játékalkalmazás, amely megközelítőleg 500 ezer felhasználót tévesztett meg. A Google Play áruházból való eltávolítás előtt az alkalmazás 4.1-es átlagértékelést tudhatott magáénak, de az 5-ös csillagok magas aránya és a kényszerítés miatt panaszkodó vélemények már meglehetősen ellentmondásossá tették a képet. Hasonló elv alapján működtek az Anime Wallpapers HD és a Latest online movies alkalmazások is, amelyeket a szintén töröltek már a Google Play áruházból.

Az ESET szakemebrei az alkalmazásokban használt Android/Hiddad.BZ trójai vírusból 7 verziót is találtak. Minden ilyen alkalmazás "Music Mania" néven jelenik meg a programok között, majd az ikonra kattintva betöltődik a hirdetést megjelenítő komponens (ad-displaying component). Ez önmagában egy csaló rendszerüzenet, ami "android plugin" címszó alatt kér engedélyt a telepítésre és mindaddig eltakarja a képernyőt, amíg nem járulunk hozzá az installáláshoz. A hirdetésmegjelenítő (ad-displaying payload) telepítése után a hamis plugin adminisztrátori jogosultságot kér eszközünkhöz egy újabb olyan felugró ablakban, amiből nem tudunk visszalépni. Az admin jogok megosztása után a képernyőnket hirdetések lepik el, amelyek 5 csillagos értékelésre kérnek minket azok eltávolításához.

Az üzenetek törlése egy még nagyobb hirdetés lavinát indíthat el tovább provokálva a felhasználót az értékelésre. A kártékony alkalmazást február 27-én jelentette az ESET, amelyet fokozatosan vissza is vontak az áruházból.

Hogyan lehet eltávolítani a hirdető vírust?

Az Alkalmazáskezelőben az eredeti alkalmazás ("Music Mania") törlése nem elegendő az eltávolításhoz, a fertőző bővítményt is kell távolítani. Ahhoz, hogy az Android/Hiddad.BZ-t teljes egészében eltávolítsuk az eszközről, le kell tiltanunk annak eszközadminisztrátori jogait (Beállítások -> Biztonság -> Eszközadminisztrátorok -> Engedélyezés szükséges). Ezután eltávolíthatjuk a plugin android-ot (Beállítások -> Alkalmazáskezelő -> plugin android).

Árulkodó jelek

Hogy elkerüljük a fent említett csapdákat, a szakértők szerint az értékelésen túl érdemes átfutni a felhasználói véleményeket is, hogy valós képet kapjunk arról, mit kínál számunkra az adott alkalmazás. A felhasználók rendszerint kifejezetten őszintén fogalmaznak, még ha ez sokszor azt is jelenti, hogy panaszáradattal találkozunk, mert magas értékelésre kényszerítette őket egy agresszív alkalmazás - olvasható a közleményben.