זהירות: נוזקה במכשירי אנדרואיד תוקפת מאות אפליקציות פופולריות

סוג חדש של תוכנה זדונית התגלה באחרונה במכשירי אנדרואיד. הנוזקה מסוגלת לגנוב נתונים, סיסמאות ומידע על כרטיסי אשראי מאפליקציות פופולריות רבות, המותקנות אצל מרביתנו על הניידים.

BlackRock זהו שמה של הנוזקה החדשה שהתגלתה בסמארטפונים, שמסוגלת לחלץ נתונים ממעל 337 אפליקציות מגה-פופולריות, ביניהן למשל תמצאו את ג'ימייל (Gmail), פייסבוק (Facebook), טוויטר (Twitter), סנאפצ'אט (Snapchat), יוטיוב (YouTube), אינסטגרם (Instagram), סקייפ (Skype), טינדר (Tinder), נטפליקס (Netflix), אמזון (Amazon), אאוטלוק של מיקרוסופט (Microsoft Outlook), ואחרות – ואפילו את אפליקציית Play Store – שהיא חנות היישומים של גוגל (Google) עצמה, מי שעומדת מאחורי מערכת ההפעלה אנדרואיד.

התוכנה הזדונית התגלתה על ידי חברת האבטחה ThreatFabric. על פי חברת האבטחה, BlackRock עוקבת אחרי ההתנהלות בנייד ומאתרת כשאחת האפליקציות שבהן התמקדה נפתחת. לאחר מכן היא מציגה מעין שכבת-על, שנראית מקורית, למשתמשים. החלונית הזו לא מאפשרת למעשה שימוש ביישום לפני שהמשתמש ממלא את הפרטים שהיא מבקשת ממנו. מכיוון שאנשים לא מבינים שמדובר בחלון קופץ מזויף, הם בסופו של דבר נכנסים לחלונות שלהם, אשר בעצם מקושרים לשרת של ההאקרים.

משתמשים שנכנסו לחלונית, התבקשו להזין אליה פרטי תעודות משתמש (credentials), ולכאורה רק לאחר מכן הם יכולים לגשת לאפליקציה עצמה. בדרך זו, התוכנה הזדונית אינה משאירה שום זכר לפריצה או לגניבת נתונים, אבל בכל זאת מצליחה בכך.

הקדימו תרופה עם אנטי וירוס והורדת אפליקציות ממקורות רשמים בלבד. נוזקה בניידים. צילום אילוסטרציה: BigStock

מופצת כחבילת עדכון מזויפות של גוגל דרך אתרי צד שלישי

חוקרי ThreatFrabric קובעים כי התוכנה הזדונית BlackRock מבוססת על קוד מקור של נוזקה אחרת בשם Xerexes. בדו"ח שפרסמה חברת האבטחה נכתב גם כי BlackRock מופצת כחבילת עדכון מזויפות של גוגל דרך אתרי צד שלישי, ולא זוהתה ביישומים המוצעים דרך חנות האפליקציות של גוגל בינתיים. נכון לעכשיו לא ברור כעד כמה התפשטותה נרחבת.

מאחר שהמשתמשים לא יודעים למעשה שנפגעו, הדבר החשוב לדעת הוא שלא להזין מידע לחלוניות אשר קופצות עם פתיחת יישומים.

למרבה הצער, בינתיים אין הרבה מה שהמשתמשים יכול לעשות בכדי לנקות את הטלפונים שלהם מ-BlackRock, אם הפכו לקורבנות שלה, ובכדי שלא תתפשט במהירות על המערכת כולה. הסיבה היא שהנוזקה תמנע מרוב תוכנות האנטי-וירוס להתחיל לעבוד (בדיוק באמצעות אותו תרגיל החלונית, שתואר קודם לכן), ולפיכך תוכל להמשיך לקצור הכל מהמשתמשים, החל מהמידע הכספי שלהם וכלה בשמות משתמש וסיסמאות שבה הם עושים שימוש במדיה החברתית.

בהמשך לתגלית המטרידה כתבו חוקרי ThreatFabric פוסט נבואי מדאיג, שהתפרסם בבלוג החברה. בפוסט צוין כי "המחצית השנייה של 2020 תגיע עם הפתעות שלה. אחרי Alien, Eventbot ו-BlackRock אנו יכולים לצפות ששחקני איומים בעלי מוטיבציה כלכלית יבנו סוסים טרויאניים חדשים וימשיכו לשפר את הקיימים. עם השינויים שאנו צופים שיבוצעו בסוסים טרויאנים מכווני בנקאות סלולרית, הגבול בין תוכנות זדוניות בנקאיות לתוכנות ריגול יהפוך להיות דק יותר. תוכנות זדוניות בנקאיות מהוות איום על ארגונים רבים יותר, ועל התשתית שלהם".

בכל אופן, כמשתמשים פרטיים, כדאי לזכור כי הדרך הפשוטה והבטוחה ביותר להישאר מוגנים מפני איום מסוג זה הייתה ונותרה – לעולם לא להסתמך על אפליקציות ממקורות לא רשמיים, ולהיות מצוידים בתוכנת אנטי-וירוס אמינה מבעוד מועד, הרבה לפני שחושדים שהפכתם קורבן למתקפת סייבר. בנוסף מומלץ לבדוק מעת לעת את הרשאות האפליקציה שלכם, ואת מפרט חיובי כרטיס האשראי וכמו תמיד – להחליף סיסמאות אחת לתקופה.