Ο ερευνητής της ESET Lukáš Štefanko, υπέυθυνος για την ανακάλυψη, θα είναι παρών στο Mobile World Congress 2019 στη Βαρκελώνη
Οι ερευνητές της ESET ανακάλυψαν το πρώτο Android malware που μπορεί να αντικαταστήσει το περιεχόμενο του προχείρου (clipboard) μιας συσκευής στο Google Play. Το ονομαζόμενο «clipper» στοχεύει σε συναλλαγές κρυπτονομισμάτων Bitcoin και Ethereum, αποσκοπώντας στο να ανακατευθύνει τη μεταφορά των χρηματικών ποσών στο πορτοφόλι του εισβολέα αντί του θύματος.
«Αυτή η ανακάλυψη δείχνει ότι τα clippers, που μπορούν να ανακατευθύνουν ποσά κρυπτονομισμάτων, δεν συναντώνται πια μόνο στα Windows ή σε «ύποπτα» Android forums. Πλέον, όλοι οι χρήστες Android πρέπει να είναι προσεκτικοί», σχολιάζει ο Lukáš Štefanko, Malware Researcher της ESET.
Το clipper που ανακαλύφθηκε πρόσφατα ανιχνεύεται από τις λύσεις ασφάλειας της ESET ως Android/Clipper.C. Το malware αυτό εκμεταλλεύεται το γεγονός ότι όσοι χρησιμοποιούν λειτουργίες με συναλλαγές κρυπτονομισμάτων, συνήθως δεν εισάγουν χειροκίνητα τις διευθύνσεις των ηλεκτρονικών πορτοφολιών τους. Αντί να τις πληκτρολογούν, οι χρήστες έχουν την τάση να αντιγράφουν και να επικολλούν τις διευθύνσεις χρησιμοποιώντας το πρόχειρο. Το κακόβουλο λογισμικό μπορεί να αντικαταστήσει τη διεύθυνση του χρήστη με μία που ανήκει στον εισβολέα.
Τα clippers εμφανίστηκαν για πρώτη φορά στα Windows το 2017. Το 2018 μάλιστα, οι ερευνητές της ESET ανακάλυψαν τρεις τέτοιες κακόβουλες εφαρμογές στο download.cnet.com, έναν από τους πιο δημοφιλείς ιστότοπους φιλοξενίας λογισμικού στον κόσμο. Τον Αύγουστο του 2018, ανακαλύφθηκε το πρώτο Android clipper που πωλούνταν σε φόρουμ hacking και έκτοτε, αυτό το κακόβουλο λογισμικό έχει ανιχνευθεί σε πολλά παράνομα καταστήματα εφαρμογών.
Μέχρι το 2019, οι χρήστες Android που χρησιμοποιούσαν μόνο το επίσημο κατάστημα εφαρμογών Google Play ήταν απολύτως ασφαλείς από τα clippers. Αυτό άλλαξε το Φεβρουάριο του 2019 όταν οι ερευνητές της ESET ανακάλυψαν το πρώτο clipper στο Google Play. «Ευτυχώς, εντοπίσαμε αυτό το clipper αμέσως μόλις εμφανίστηκε στο Google Play. Το αναφέραμε στην ομάδα ασφάλειας του Google Play, η οποία προχώρησε στην απομάκρυνση της εφαρμογής από το κατάστημα», λέει ο Lukáš Štefanko.
Το clipper που ανακάλυψαν οι ερευνητές της ESET στο κατάστημα Google Play μιμείται μια νόμιμη υπηρεσία που ονομάζεται MetaMask. Το MetaMask επιτρέπει την εκτέλεση αποκεντρωμένων εφαρμογών του Ethereum σε ένα πρόγραμμα περιήγησης χωρίς να χρειάζεται να τρέχει ολόκληρο το node του Ethereum. Είναι διαθέσιμη με τη μορφή επεκτάσεων μόνο για προγράμματα περιήγησης για desktop, όπως Chrome και Firefox, ενώ δεν υπάρχει έκδοση για κινητά.
«Φαίνεται ότι υπάρχει ζήτηση για μια έκδοση του MetaMask για κινητά. Οι κυβερνοεγκληματίες γνωρίζουν αυτή τη ζήτηση και εισάγουν ύπουλα κακόβουλο λογισμικό που μιμείται αυτή την υπηρεσία στο Google Play», προειδοποιεί ο Lukáš Štefanko.
Επίσης, αυτό το παλαιότερο κακόβουλο λογισμικό που μιμείται το MetaMask στοχεύει στις καταθέσεις Bitcoin ή Ethereum του χρήστη, προσπαθώντας ωστόσο μόνο να εξαπατήσει τον χρήστη να εισάγει τη διεύθυνση του πορτοφολιού σε μια πλαστή φόρμα και έτσι να αποκαλύψει αυτές τις ευαίσθητες πληροφορίες στον εισβολέα.
«Έχοντας εγκαταστήσει ένα clipper στη συσκευή του θύματος, η απόσπαση χρηματικών ποσών γίνεται πανεύκολα. Τα ίδια τα θύματα στέλνουν άθελά τους χρήματα απευθείας στον κυβερνοεγκληματία» εξηγεί ο Lukáš Štefanko.
Με την εμφάνιση του malware clipper για πρώτη φορά στο Google Play, οι χρήστες Android θα πρέπει να είναι ακόμη πιο προσεκτικοί και να ακολουθούν τις βέλτιστες πρακτικές για την ασφάλεια του κινητού τους τηλεφώνου.
Για να παραμείνουν ασφαλείς από clippers και άλλα κακόβουλα προγράμματα που στοχεύουν σε Android, η ESET συμβουλεύει τους χρήστες να:
- Διατηρούν την Android συσκευή τους ενημερωμένη και να χρησιμοποιούν μια αξιόπιστη λύση ασφάλειας για κινητά.
- Να χρησιμοποιούν μόνο το επίσημο κατάστημα Google Play για τη λήψη εφαρμογών…
- …ελέγχοντας ωστόσο πάντα τον επίσημο ιστότοπο του προγραμματιστή της εφαρμογής ή τον πάροχο υπηρεσιών για το link που οδηγεί στην επίσημη εφαρμογή. Εάν δεν υπάρχει κάτι σχετικό, οι χρήστες θα πρέπει να το θεωρήσουν ύποπτο και να είναι ιδιαίτερα προσεκτικοί με οποιοδήποτε αποτέλεσμα της αναζήτησης τους στο Google Play
- Να ελέγχουν σχολαστικά κάθε βήμα σε όλες τις συναλλαγές που σχετίζονται με οτιδήποτε αξίας, από ευαίσθητες πληροφορίες έως χρήματα. Όταν χρησιμοποιούν το πρόχειρο (clipboard), να ελέγχουν πάντα αν αυτό που επικόλλησαν είναι αυτό που ήθελαν να εισάγουν.
Οι δείκτες IOC (Indicators of Compromise) και περισσότερες τεχνικές λεπτομέρειες βρίσκονται στο παρακάτω άρθρο.
Η ανακάλυψη συμπίπτει με τη διεξαγωγή του Mobile World Congress στη Βαρκελώνη, στο οποίο συμμετέχει η ESET. Ο ερευνητής Lukáš Štefanko θα βρίσκεται στο περίπτερο της ESET και θα είναι διαθέσιμος για συνεντεύξεις. Η ESET θα διερευνήσει τις θεματικές Machine Learning/Artificial Intelligence, θα παρουσιάσει νέες έρευνες και σημαντικά ευρήματα για την ασφάλεια των κινητών και θα παρουσιάσει τις λύσεις ασφαλείας της από το περίπτερό της (Hall 7, stand 7H41) κατά τη διάρκεια της παγκόσμιας έκθεσης που θα πραγματοποιηθεί στις 25-28 Φεβρουαρίου 2019 στη Βαρκελώνη.
Εικόνα 1: Το Android/Clipper.C που μιμείται την εφαρμογή MetaMask στο Google Play