U Google Play Storeu pronađen spyware koji šalje osjetljive podatke na servere smještene u Kini! Ove aplikacije je preuzelo više od milijun i pol korisnika.

Analitičari cyber sigurnosti ovih su dana otkrili dvije aplikacije u Google Play Storeu koje su zapravo spyware. Radi se o aplikacijama čija je funkcija upravljanje datotekama na uređajima i dolaze od istog developera. U pozadini svega je ozbiljna ugroza osjetljivih podataka jer je utvrđeno da se oni šalju na servere smještene u Kini bez pristanka korisnika.

Spyware aplikacije koje su se skrivale u Google Play Storeu

Sporne aplikacije, koje su zapravo spyware, mogle su se donedavno preuzeti u Google Play Storeu, a njihovi su nazivi sljedeći:

• File Recovery & Data Recovery
• File Manager.

Ovog tjedna uočila ih je tvrtka Pradeo koja je jedna od vodećih u svijetu kad je u pitanju cyber sigurnost pametnih telefona. Aplikacije dolaze od istog developera pod nazivom Wang Tom i u ovom trenutku ih je preuzelo više od milijun i pol korisnika.

Google ih je dosad već uklonio iz Google Play Storea, no korisnici koji su ih preuzeli na svoj pametni telefon trebali bi ih hitno ukloniti.

O kakvoj se krađi podatka radi?

Obje aplikacije koje smo spomenuli objavile su u Google Play Storeu kako ne skupljaju podatke s korisnikovog uređaja. Nadalje, također su objavile da u slučaju skupljanja podataka korisnici ne mogu dati zahtjev za njihovim brisanjem, a ovaj način rada je suprotan trenutnim odredbama GDPR-a.

Izvještaji o načinu funkcioniranja dviju aplikacija pokazali su kako se skupljaju iznimno osjetljivi podaci korisnika. Kasnije se isti podaci u velikim količinama prosljeđuju na servere koji su smješteni u Kini.

Osjetljivi podaci koje aplikacije prosljeđuju su:

• korisnikov popis kontakata sa samog uređaja te svih povezanih računa kao što su e-mail, društvene mreže itd.
• medijski sadržaji na uređaju – fotografije, audio i video sadržaj
• korisnikova lokacija u stvarnom vremenu
• Mobile Country Code (MCC) – mobilna lozinka koja se sastoji od tri znamenke s kojima se identificira GSM mreža
• naziv pružatelja usluge interneta
• broj verzije operativnog sustava – podatak kojim se omogućuje izlaganje dodatnom malwareu
• brend uređaja i njegov model.

Svaka od dviju aplikacija na dnevnoj bazi provodi na stotine prijenosa skupljenih podataka.

Kako utvrditi koje su aplikacije sumnjive u Google Play Storeu?

Sumnjive aplikacije iza kojih se krije spyware ili neki drugi oblika malwarea nije lako utvrditi, no postoje znakovi koje se može protumačiti kao ozbiljno upozorenje:

1. Aplikacije izgledaju pouzdano – Mi unaprijed imamo stav da veliki broj preuzimanja određene aplikacije znači i njenu pouzdanost. Upravo su primjeri navedenih dviju aplikacija pokazali da to nije baš tako pošto ih je ukupno preuzelo više od milijun i pol korisnika. U tom konkretnom slučaju vjerujemo da su hakeri instalirali emulatore pomoću kojih se lažno prikazao broj preuzimanja pa su se odmah i same aplikacije automatizmom bolje rangirale, unatoč činjenici da nemaju nikakve recenzije.
2. Aplikacije zahtijevaju malo interakcije s korisnikom – File Recovery & Data Recovery i File Manager su također izvrstan primjer ovog način postupanja. Samom instalacijom dane su im prevelike dozvole pa se time gotovo u potpunosti uklanja komunikacija s korisnikom. Jedna od ključnih dozvola za slične aplikacije je mogućnost njihovog automatskog pokretanja prilikom resetiranja uređaja. Na taj način se mogu izravno pokretati bez da to korisnik mora manualno odraditi.
3. Prevencija brisanja – Sve aplikacije koje instaliramo iz Google Play Storea vidljive su na zaslonu našeg uređaja. Naravno, ovdje u nekim slučajevima imamo iznimke pa aplikacija može svoju ikonu jednostavno sakriti. Ove dvije aplikacije su se upravo koristile tom metodom kako bi se njihovo brisanje otežalo. To se jedino moglo odraditi tako da korisnik uđe u postavke svog uređaja i napravi brisanje aplikacija s njihovog popisa.

Preporuke za sigurnost

Ove preporuke odvojili smo na privatne i poslovne korisnike jer se ipak radi o različitom načinu korištenja aplikacija, što ujedno znači i potpuno drugačije mjere koje je potrebno poduzimati.

Preporuke za privatne korisnike:

• nemojte preuzimati aplikacije koje nemaju recenzije, a istodobno ih je preuzeo veliki broj korisnika
• čitajte recenzije ako ih možete pronaći jer one obično opisuju kako aplikacija funkcionira u praksi
• uvijek pažljivo čitajte koje dozvole od vas traže aplikacije prije nego što postupak instalacije provedete do kraja.

Preporuke za poslovne korisnike:

• sve pojedince koji koriste određene aplikacije za kolaboraciju uputite na razumijevanje njihovog sigurnosnog aspekta
• automatizirajte detekciju potencijalnog malwarea kod aplikacija, prevenirajte njihovo pokretanje ako nisu kompatibilne sa sigurnosnim postavkama vaših uređaja i uputite korisnike na obavezno prijavljivanje sumnjivih radnji kod aplikacija.

Na kraju je važno steći naviku provjere svake aplikacije koju preuzimate jer se nerijetko događa da se Googleove sigurnosne aspekte u Google Play Storeu može zaobići. Mnoge se aplikacije znaju predstavljati kao pouzdane, ali u pozadini se radi o opasnim softverima koji sadrže malware.

Google kontinuirano obraća pozornost na sigurnosni aspekt Google Play Storea i radi na značajkama koje uklanjaju sumnjive aplikacije, no od korisnika se očekuje da i dalje moraju biti oprezni te dva puta razmisliti o tome što preuzimaju i koje se dozvole traže tijekom instalacije.

Piše: Ervin Mičetić