Jak ochronić urządzenie z systemem Android przed Ghost Push
Nowości z laboratorium wirusów

Jak ochronić urządzenie z systemem Android przed Ghost Push

Threat Intelligence Team, 17 lutego 2017

Zespół firmy Avast ds. analizy zagrożeń wyjaśnia, czym są programy Ghost Push, i jak można się przed nimi zabezpieczyć.

 

Ghost Push to rodzina złośliwych programów, które wykorzystują luki w zabezpieczeniach, aby uzyskiwać dostęp na poziomie administratora do urządzeń z systemem Android, a następnie pobierać i oceniać inne aplikacje w tle. Przy użyciu socjotechniki użytkownicy są podstępnie nakłaniani do pobrania programu Ghost Push z zewnętrznych sklepów z aplikacjami lub za pomocą linków wysyłanych w wiadomościach tekstowych. Zainstalowany program Ghost Push próbuje uzyskać dostęp do danych na poziomie administratora. Dobra wiadomość jest taka, że Avast Mobile Security chroni wszystkich użytkowników przed Ghost Push.

Pobierz Avast Mobile Security  ZA DARMO

Czy programy Ghost Push są naprawdę groźne?

Jak sama nazwa wskazuje, programy typu Ghost Push po uzyskaniu dostępu na poziomie administratora zachowują się jak duchy, co oznacza, że użytkownicy zainfekowanych urządzeń niczego nie zauważają — wszystko dzieje się w tle. Ostatnio wykryto nową odmianę złośliwego oprogramowania Ghost Push o nazwie Gooligan. Działanie programu Gooligan polega na kradzieży adresów e-mail i tokenów uwierzytelniania przechowywanych na zainfekowanych urządzeniach i uzyskiwaniu w ten sposób dostępu do danych na koncie Google użytkownika — w tym do Gmaila i Google Play. Problem ten dotknął ponad miliona użytkowników Google Play. Avast Mobile Security chroni wszystkich użytkowników przed Ghost Push.

Udało się nam stwierdzić, że najstarszy program typu Ghost Push to odmiana oprogramowania reklamowego Xinyinhe, która została wykryta w 2014 r. Program Xinyinhe stworzyła chińska firma z Shenzhen, która w tym czasie zajmowała się promowaniem gier na urządzenia mobilne. W celu zainstalowania aplikacji tak, aby użytkownicy tego nie zauważyli, program Xinyinhe wykorzystywał luki systemu Android do uzyskania dostępu na poziomie administratora.

 

Xinyinhe 1.jpg

(Fragment kodu programu Ghost Push wykorzystującego luki w aplikacji GingerBreak)

Xinyinhe 2.jpg

Biorąc pod uwagę ogromną liczbę aplikacji dostępnych w Google Play, firmy tworzące aplikacje mobilne działają pod wielką presją i bardzo zależy im na tym, by ich aplikacje były często instalowane i zbierały pozytywne recenzje. Dlatego też powstało wiele platform promocyjnych. Na zdjęciu poniżej widać, w jaki sposób chińskie firmy promocyjne ręcznie aktywowały aplikacje w klastrach urządzeń z systemem AndroidXinyinhe 3.jpg

Gooligan, odmiana programu z rodziny Ghost Push, któremu nazwę nadała firma Check Point, jest bardziej skomplikowany niż Xinyinhe. Po uzyskaniu dostępu na poziomie administratora Gooligan włamuje się na konto użytkownika Google Play, aby dyskretnie pobierać aplikacje, a następnie je oceniać. Większość urządzeń z systemem Android używanych w Chinach nie obsługuje platformy Google Play, dlatego chińscy użytkownicy pobierają aplikacje z lokalnych sklepów z aplikacjami dla systemu Android. Dlatego właśnie głównymi ofiarami programu Gooligan są użytkownicy z południowo-wschodniej Azji.

W niektórych krajach tego regionu tanie smartfony z systemem Android są bardzo popularne, a sklep Google Play jest w nich dostępny. Niestety tego typu tanie urządzenia działają przeważnie ze starszymi wersjami systemu operacyjnego Android i nie można ich uaktualnić. Najczęściej używane wersje systemu Android w krajach południowo-wschodniej Azji to 4.2 i 4.4. Występują w nich problemy z bezpieczeństwem oraz luki w zabezpieczeniach. Jeśli takie urządzenia zostaną zainfekowane przez program Gooligan, będzie on mógł uzyskać dostęp na poziomie administratora.

W ciągu ostatnich dwóch lat dobrze znane programy wykorzystujące dostęp na poziomie administratora (takie jak DirtyCow, iovroot czy Pingpong root) były dostępne publicznie. Z tego powodu Gooligan ma większe możliwości uzyskiwania dostępu do nowych urządzeń na poziomie administratora. Ataki tego typu dotyczyły nie tylko użytkowników w południowo-wschodniej Azji, ale także w Europie i obu Amerykach, jeśli użytkownicy korzystali ze starszych wersji systemu operacyjnego Android.

Ochrona przed Ghost Push

  • Zainstaluj program antywirusowy na swoim smartfonie. Polecamy program Avast Mobile Security, który wykrywa programy z rodziny Ghost Push, w tym Xinyinhe i Gooligan, i zapewnia przed nimi ochronę.
  • Staraj się nie kupować tanich ani używanych smartfonów. Zamiast tego wybierz nowe urządzenie zaufanej i dobrze znanej marki, aby mieć pewność, że system operacyjny Android jest aktualny.
  • Pobieraj aplikacje tylko z Google Play i sprawdzaj, czy otrzymujesz linki w wiadomościach SMS, aby mieć pewność, że są bezpieczne.

Skrót opisanego przykładu programu Xinyinhe to e6dbf2d24c1450b2ea72604c5705bdf72dd02c92eb2873c52a0a80f97eda745a