PlainGnome Android trojan to trojan kradnący dane, który jest nie tylko zdolny do kradzieży informacji, ale także ma możliwości szpiegowskie. Uważa się, że złośliwe oprogramowanie jest obsługiwane przez wspieranego przez państwo rosyjskiego cyberprzestępcę znanego jako Gamaredon. W szczególności jest powiązany z Federalną Służbą Bezpieczeństwa Federacji Rosyjskiej (FSB). Celem są rosyjskojęzyczni użytkownicy w państwach byłego ZSRR, prawdopodobnie wysoko postawione osoby.
PlainGnome Android trojan to bardzo poważna infekcja z możliwościami, które pozwalają jej zasadniczo szpiegować użytkowników. Wydaje się, że złośliwe oprogramowanie atakuje rosyjskojęzycznych użytkowników w państwach byłego ZSRR, takich jak Kazachstan, Uzbekistan i Tadżykistan. Warto podkreślić, że złośliwi aktorzy obsługujący to złośliwe oprogramowanie to rosyjscy aktorzy państwowi, konkretnie powiązani z FSB.
Wygląda na to, że złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem fałszywych aplikacji do galerii obrazów. Gdy urządzenia użytkowników zostaną zainfekowane, złośliwe oprogramowanie musi najpierw nakłonić użytkowników do udzielenia uprawnienia „REQUEST_INSTALL_PACKAGES”. Jeśli pozwolenie zostanie udzielone, złośliwe oprogramowanie wyświetli nowe okno z przyciskiem z napisem „katalog” w Rosji. Jeśli użytkownicy klikną przycisk, złośliwe oprogramowanie może się w pełni zainicjować.
Zakres możliwości złośliwego oprogramowania jest bardzo niepokojący. Może wykraść wiele informacji, w tym informacje o urządzeniu, dane dostawcy usług mobilnych, kontakty, dzienniki połączeń (numery telefonów, nazwy kontaktów, połączenia przychodzące/wychodzące, data/godzina i czas trwania), powiadomienia, odebrane/wysłane SMS-y (data/godzina, odbiorcy, treść SMS-ów), lokalizację i historię przeglądania. Jeśli to nie wystarczy, złośliwe oprogramowanie nagrywa również otaczający dźwięk i może robić zdjęcia. Oznacza to, że PlainGnome Android trojan może zasadniczo szpiegować użytkowników i nagrywać rozmowy. Co ciekawe, złośliwe oprogramowanie może przestać nagrywać dźwięk, gdy urządzenie jest używane, aby uniemożliwić użytkownikom zauważenie logo mikrofonu, które jest wyświetlane na pasku stanu, gdy jest używane.
Tego typu PlainGnome Android trojan infekcje są bardzo poważne, zwłaszcza że są obsługiwane przez rosyjskie podmioty państwowe.
W jaki sposób jest PlainGnome Android trojan dystrybuowany?
Podobnie jak każde złośliwe oprogramowanie na Androida, może PlainGnome Android trojan być dystrybuowane na kilka różnych sposobów. Jednak w tej chwili wydaje się, że rozprzestrzenia się za pośrednictwem zwodniczych aplikacji do galerii obrazów. Te złośliwe aplikacje można znaleźć w różnych sklepach z aplikacjami innych firm i podejrzanych witrynach pobierania, podszywając się pod legalne. Jest to zwykle metoda stosowana, gdy szkodliwi użytkownicy atakują użytkowników na masową skalę.
Atakując konkretne osoby, złośliwi aktorzy często stosują taktyki phishingu i socjotechniki, takie jak e-maile i wiadomości. Jeśli mają pewne dane osobowe o swoich celach, te próby phishingu i socjoinżynierii mogą być wysoce wyrafinowane i wydawać się bardzo wiarygodne, zwiększając szanse na interakcję z nimi przez cele. Użytkownicy mogą natknąć się na złośliwe oprogramowanie na Androida podczas angażowania się w pirackie działania, szczególnie podczas pobierania cracków lub treści chronionych prawem autorskim. Złośliwe oprogramowanie jest często znajdowane w różnych sklepach z aplikacjami innych firm, a także w niewiarygodnych witrynach pobierania.
Jak chronić się przed złośliwym oprogramowaniem na Androida
Użytkownicy, którzy są bardziej ostrożni w Internecie, mają tendencję do znacznie rzadziej infekowania swoich urządzeń. Dobrym pomysłem jest wypracowanie dobrych nawyków przeglądania, z których niektóre obejmują:
Wyszukiwanie aplikacji przed pobraniem
Bardzo ważne jest, aby zbadać aplikacje przed ich zainstalowaniem. Użytkownicy powinni przyjrzeć się programiście, sprawdzić recenzje i dokładnie przejrzeć uprawnienia, o które prosi aplikacja. Użytkownicy nigdy nie powinni pobierać żadnych aplikacji z żadnych źródeł bez dwukrotnego sprawdzenia wszystkich informacji.
Korzystanie z legalnych sklepów/platform do pobierania aplikacji
Zdecydowanie zalecamy, aby użytkownicy korzystali z oficjalnych sklepów z aplikacjami, takich jak Sklep Google Play, aby pobierać aplikacje. Sklepy z aplikacjami innych firm często nie mają odpowiednich zabezpieczeń, co bardzo ułatwia złośliwym użytkownikom przesyłanie złośliwych aplikacji podszywających się pod legalne. Sklep Google Play to najbezpieczniejsza opcja pobierania aplikacji ze względu na środki bezpieczeństwa mające na celu zapobieganie złośliwemu oprogramowaniu. Chociaż niektóre złośliwe oprogramowanie może od czasu do czasu prześlizgiwać się przez zabezpieczenia Google, jest to dość rzadkie w porównaniu z zagrożeniami związanymi ze sklepami z aplikacjami innych firm.
Zawsze uważne przeglądanie żądanych uprawnień
Dobrym sposobem na uniknięcie złośliwego oprogramowania na Androida jest dokładna ocena uprawnień wymaganych przez aplikacje przed ich przyznaniem. Po zainstalowaniu aplikacja zwykle prosi o określone uprawnienia do prawidłowego działania. Jednak bardzo ważne jest, aby użytkownicy byli zawsze bardzo ostrożni podczas przyznawania tych uprawnień. Na przykład, jeśli użytkownik pobierze grę, która prosi o pozwolenie na dostęp do jego wiadomości lub wykonywanie połączeń, powinna to być natychmiastowa czerwona flaga.
Aktualizowanie urządzenia
Aktualizowanie wszystkich urządzeń ma kluczowe znaczenie, ponieważ aktualizacje usuwają znane luki w zabezpieczeniach, które mogą zostać wykorzystane przez złośliwych aktorów. Ważne jest, aby zainstalować te aktualizacje, gdy tylko staną się dostępne, aby chronić urządzenia.
Nie klikanie nieznanych linków ani nie otwieranie niechcianych załączników do wiadomości e-mail
Jest to istotne dla wszystkich użytkowników, niezależnie od typu urządzenia, z którego korzystają. Należy zachować ostrożność w przypadku niechcianych wiadomości SMS, e-maili lub innych wiadomości zawierających linki lub załączniki. Pamiętaj, że legalne agencje rządowe (takie jak organy ścigania i agencje podatkowe), banki i podobne instytucje nigdy nie wysyłają wiadomości ani e-maili z klikalnymi linkami. Zaleca się unikanie klikania nieznanych linków i powstrzymanie się od otwierania niechcianych załączników do wiadomości e-mail bez uprzedniego sprawdzenia, czy są one bezpieczne. Można to zrobić, skanując je programem antywirusowym lub używając VirusTotal .