Об этом пишет Forbes, информирует UAINFO.org.
Это очень простой способ атаки. Такое не должно быть возможно, точно не в 2021 году и не на устройстве Android с самой современной прошивкой и настройками безопасности, и уж точно не в случае загрузки приложения из защищенного Play Store. Но это стало возможным. Вот что конкретно произошло. Вредоносное приложение, обойдя защиту Google автоматически шлет контактам пользователя в WhatsApp зараженные сообщения.
Установили, что это вредоносное ПО использует довольно тщательно скрытые настройки Android, и это второе подобное предупреждение за этот год. Внезапно вам нужно проверить, что никакое приложение на вашем устройстве не имеет доступа к этим настройкам, помимо системных программ или программ, предоставленных очень надежными источниками. Инструкция, как это сделать, будет ниже.
По словам команды Check Point, которая и обнаружила это вредоносное ПО, оно «выполняет ряд вредоносных действий, включая кражу информации и учетных данных». Команда предупреждает, что подобное поднимает «беспокоящие красные флажки» над защитой Play Store. Хотя эту конкретную атаку остановили, «тип вредоносных ПО останется, оно может вернуться в скрытом виде в другом приложении».
В прошлом году Check Point уже предупреждали, что улучшения безопасности Play Store «развиваются не так, как мы ожидали. Google инвестирует в борьбу с вредоносными ПО, но, учитывая текущее состоянии, этого недостаточно». Прошёл год, и всё повторилось.
На этот раз вектор атаки интереснее, чем специфика (вредоносное ПО предлагает бесплатный доступ к Netflix и затем рассылает сообщения, предлагающие то же самое). После установки приложение FlixOnline перехватывает уведомления WhatsApp, когда приходит новое сообщение, и отправляет автоматический ответ со ссылкой на фальшивый сайт Netflix, который запрашивает данные учетной записи и кредитной карты.
Серьезной точкой уязвимости является сервис «Прослушиватель уведомлений» (Notification Listener Service), который можно активировать, дав соответствующее разрешение. Вновь устанавливаемое приложение обманом заставляет пользователей дать его и получает возможность перехватывать входящие сообщения и управлять ими. «Сложно найти хорошее применение этому разрешению, — рассказал мне Авиран Хазум (Aviran Hazum) из Check Point. — По большей части обычные приложения не запрашивают такое разрешение».
В январе мы уже сталкивались с подобной уязвимостью, а в 2016 году было даже сделано пророческое предупреждение. Разница только в том, что в этот раз вредоносное ПО загружается из самого Play Store, а не какого-то стороннего магазина, и это по-настоящему плохая новость. По словам Check Point, «это новое и инновационное вредоносное ПО» быстро остановили, его успели загрузить всего несколько сотен раз, но его установка вообще не должна была быть возможной.
Вектор атаки сейчас хорошо известен. В этом году уже дважды происходило подобное, что делает всю эту ситуацию ещё более реальной. Почти наверняка этот вектор будут использовать вновь, поэтому вам нужно принять меры и обезопасить себя.
Это один «из двух механизмов Android, которыми чаще всего злоупотребляют, — рассказал мне Хазум. — Чаще всего их используют, чтобы шпионить». Этот механизм также можно использовать, чтобы автоматически распространять новые заражения, что очень опасно для пользователя и его контактов, говорит Хазум. По его словам, печально известное вредоносное ПО «Joker» использовало то же самое слабое место, чтобы «перехватывать содержимое верифицирующего SMS-сообщения, которое получал Премиум сервис», о подписке на который пользователи не знали.
«Перехватить предопределяемые уведомлением действия относительно просто, если приложение получает доступ к „прослушивателю уведомлений", — предупреждает Хазум. — Это актуально не только для WhatsApp, а для всех приложений. В этом случае перехватывали уведомления WhatsApp и отвечали сообщениями со ссылкой на вредоносный APK-файл, фальшивые новости, фишинговые кампании и много другое».
После появления информации Check Point, Google убрал это приложение из Play Store, как мне сообщили, немногие успели его установить. Однако уязвимое место сохраняется. Перед публикацией я также попросил WhatsApp прокомментировать ситуацию, хотя мессенджер не несет ответственности за это упущение.
По словам Хазума, «это злоупотребление опасным механизмом, сервисом „прослушивателя уведомлений", который позволяет приложению получать доступ ко всем уведомлениям и определять ответные действия,» вероятнее всего повторится. Как и всегда, об этом слабом месте узнали, и, учитывая относительную легкость злоупотребления им, угроза вполне реальна.
Если пользователи Android хотят узнать, в чем же iOS лучше защищает свои устройства, то перед вами вполне понятный пример. «Apple не позволяет ни одному приложению просматривать все уведомления, а значит, такой тип атаки не сработал бы», — говорит Хазум. Так что, пользователям Android нужно проверить, не установлен ли у них FlixOnline, и в случае обнаружения удалить его. Кроме того, они должны также проверить настройки доступа к уведомлениям.
Новости по теме: Ливинский Павел Анатольевич: Десятки квартир и украденные миллионы
Проверьте каждое приложение, которому разрешен доступ к уведомлениям. Я бы посоветовал давать такой доступ только надежным системным приложениям, например, дать его функции «Не беспокоить» и Android Auto. Проще говоря, я бы настойчиво посоветовал не давать доступ к уведомлениям приложениям, загруженным из Play Store или другого магазина, ведь так у них будет больше доступа к персональной информации, чем нужно.
Конечно, в жизни не всё так просто. Check Point предупреждает, что FlixOnline «не пишет „Notification Listener"», когда запрашивает к нему доступ, он открывает сам экран доступа к уведомлениям, всё поймут только те, кто его прочитает». Но теперь вы знает, насколько опасно давать такое разрешение, вы будете начеку, время от времени проверяя сами настройки.
Последнее мое предупреждение состоит из двух частей, пользователям Android стоит прочитать их внимательно. Во-первых, защиту Play Store всё ещё можно обойти, эту проблему, похоже, никак решить нельзя. А во-вторых, Android остается чувствительным к исследованиям возможностей ОС из-за своей гибкости и более низких ограничений, чем у iOS.
Учитывая «очень опасный» потенциал сервиса «прослушиватель уведомлений» и тот факт, что им, очевидно, продолжают злоупотреблять, незамедлительно нужно ввести дополнительный контроль и ограничения. Пользователю не должны угрожать настолько простые по своему вектору атаки, учитывая, в каком состоянии сейчас находятся вредоносные ПО.
Есть тут, конечно же, и ещё одно предостережение. Пользователи смартфонов, будь то Android или iOS, не должны переходить по ссылкам или загружать файлы, прикрепленные к сообщениям, даже если их прислал друг. Лишь крошечная часть смартфонов обладает защитным ПО, которое сможет перехватить эту угрозу и защитить от неё. Риск просто не стоит того.
