Два приложения для управления файлами на платформе Android, с общим числом загрузок более миллиона, на самом деле были информационными стилерами, которые отправляли собранные конфиденциальные данные неизвестным организациям в Китае.
Исследователи кибербезопасности из Pradeo обнаружили и сообщили о приложениях, которые назывались File Recovery & Data Recovery и File Manager. Оба созданы одним и тем же разработчиком, и в то время как у первого около миллиона загрузок, у второго около 500 000.
С тех пор Google удалил приложения и напомнил своим пользователям о существовании Play Protect:
«Эти приложения были удалены из Google Play. Google Play Protect защищает пользователей от приложений, которые, как известно, содержат это вредоносное ПО на устройствах Android с сервисами Google Play, даже если эти приложения поступают из других источников за пределами Play», — говорится в сообщении компании.
Приложения демонстрировали классическое вредоносное поведение: они собирают больше данных, чем им необходимо для правильной работы, они скрывают свои значки с главного экрана, чтобы пользователи не могли легко их найти и удалить, и они не сообщают четко, что они делают.
В этом конкретном случае данные, которые были переданы на сервер в Китае, включают:
- Список контактов пользователей из памяти устройства, подключенных учетных записей электронной почты и социальных сетей.
- Изображения, аудио и видео, которые управляются или восстанавливаются из приложений.
- Местоположение пользователя в реальном времени
- Мобильный код страны
- Имя сетевого провайдера
- Сетевой код SIM-провайдера
- Номер версии операционной системы
- Марка и модель устройства
Кроме того, Pradeo обнаружил, что приложения злоупотребляют предоставленными разрешениями, чтобы перезапустить себя при перезагрузке конечной точки.
Анализ: почему это важно?
Данные — это «нефть» 21 века. Он используется большинством компаний для создания персонализированных предложений, получения более подробной информации о поведении пользователей/клиентов и создания новых источников дохода. За последние пару лет, когда многие компании начали собирать пользовательские данные различными, часто недобросовестными способами, возросло осознание важности конфиденциальности пользователей. В то же время законодатели и правоохранительные органы заставляли компании раскрывать больше информации о том, как они генерируют, хранят, защищают и передают данные о клиентах, и заставляли их быть более осмотрительными в этом отношении.
В конце концов, Общий регламент ЕС по защите данных делает именно это.
Но законы и правила никогда не останавливали киберпреступников. Они по-прежнему ежедневно занимаются кражей данных, поскольку это дает им несколько новых способов атаки: кража личных данных, мошенничество с использованием электронных средств, программы-вымогатели, компрометация деловой электронной почты и многое другое.
Национальные государства также участвуют в постоянных кибератаках, включая кражу данных. Китайские, иранские, северокорейские и российские хакеры печально известны своими кампаниями по вымогательству, а также кражей данных, которая часто является частью более широкой шпионской деятельности.
Некоторые западные страны и дипломаты во главе с администрацией Трампа громогласно обвинили Китай в использовании его компаний в качестве доверенных лиц для шпионажа и кражи данных. В результате Huawei подверглась тщательной проверке на Западе, и впоследствии ей запретили разрабатывать и строить инфраструктуру 5G.
Huawei, а также китайское правительство категорически отвергли эти обвинения, заявив, что они беспочвенны и что у них нет намерения атаковать своих западных коллег в цифровой сфере. Huawei даже призвала западных аудиторов проверить свои продукты и услуги, чтобы убедиться в отсутствии бэкдоров или методов кражи данных.
Это не сработало. Большинство крупных технологических компаний не работают в Китае. Google, например, отказался от участия, оставив Huawei разработку собственной мобильной операционной системы под названием HarmonyOS.
Что другие говорят о китайском шпионаже?
Те, кто следит за индустрией кибербезопасности, знают, что Китаю не чужды киберпреступления, и что его злоумышленники неоднократно попадались на месте преступления. В обзоре технологий Массачусетского технологического института за февраль 2022 года подробно изложен Daxin, «тайный черный ход», который использовался в «шпионских операциях против правительств по всему миру в течение десяти лет, прежде чем его поймали».
Авторы Массачусетского технологического института также заявили, что Daxin — это не «единовременный случай», а скорее еще один признак «десятилетнего стремления Китая стать кибер-сверхдержавой».
«В то время как пекинские хакеры когда-то были известны своими простыми операциями «разгроми и захвати», сейчас страна является одной из лучших в мире благодаря стратегии ужесточения контроля, больших расходов и инфраструктуры для передачи хакерских инструментов правительству, которая не похожа на что-нибудь еще на свете».
В июне этого года, выступая в Аспенском институте в Вашингтоне, округ Колумбия, директор CISA Джен Истерли заявила, что Китай представляет собой «реальную угрозу», к которой Запад должен быть готов, сообщает CNBC. Истерли отвечал на вопрос о недавно раскрытом китайском проникновении в военную и частную инфраструктуру США.
Истерли охарактеризовал возможности Китая в области кибершпионажа и саботажа как «угрозу, определяющую эпоху», заявив, что в случае открытой войны «агрессивные кибероперации» будут угрожать важнейшей транспортной инфраструктуре США, «чтобы вызвать панику в обществе».
В конце мая этого года западные спецслужбы вместе с Microsoft предупредили о спонсируемой китайским государством хакерской группе, которая шпионит за целым рядом организаций критической инфраструктуры США.
Иди глубже
Если вы хотите узнать больше о безопасности в Интернете, обязательно прочитайте наше подробное руководство по лучшим брандмауэрам , а также лучшим антивирусным программам . Кроме того, прочитайте наше лучшее руководство по предотвращению потери данных , а также о том, что такое доступ к сети с нулевым доверием .