Instagram-használók, figyelem! Újabb adatlopó vírusok támadnak

Megosztás Tetszik

Nemrégiben 13 új, adatlopási céllal készített alkalmazást fedeztek fel a Google Play áruházban az ESET kutatói, amelyek kifejezetten az Instagram felhasználók belépési adatainak megszerzésére készültek. Az ESET figyelmeztetése után mind a 13 alkalmazást eltávolították Google Play áruházból, addigra viszont összesen 1,5 millió felhasználó töltötte le azokat.

Több olyan alkalmazást találtak és vizsgáltak meg az ESET szakemberei a Google Play áruházban, amelyek különféle módszerekkel próbálják megtéveszteni a felhasználókat. Egyes alkalmazások az Instagram fiókok belépési adatait próbálják megszerezni, mások pedig agresszív hirdetésekkel csalnak ki magasabb értékeléseket a felhasználótól.

Az alkalmazások Android/Spy.Inazigram kártevőt tartalmaztak és egy távoli szerverre továbbították a hamis alkalmazások révén megszerzett Instagram adatokat. Hogy növeljék a letöltések számát, azzal az ígérettel tették vonzóbbá az alkalmazásokat az Instagram felhasználók számára, hogy követőik száma nagymértékben növekedni fog, a lájkok és hozzászólások számával együtt. Később ezeket a fiókokat más felhasználók követőtáborának növelésére is felhasználták.

Az adattolvaj alkalmazások egyike, az „Instagram Followers” például egy az eredetihez egészen hasonló belépőablakot használt. Miután a felhasználó bejelentkezett, nem tudott belépni a fiókjába, hanem egy „Helytelen jelszó” üzenetbe ütközött.

Az ellopott fiókok révén kéretlen üzeneteket (spam) és hirdetéseket küldhetnek a nevünkben, illetve egyéb üzleti célokra is felhasználhatják az Instagram oldalunkat – több helyen kínálnak illegális Instagram követőtábor növelést ígérő csomagokat, amelyek legértékesebb részei a követők mellett a lájkok és a hozzászólások lehetősége.

A fenti alkalmazások letöltése után, annak ikonja megjelenik az installált alkalmazásaink között, valamint az Instagram is figyelmeztetést küld arról, hogy valaki megpróbált belépni a fiókunkba. Ezután azt tapasztalhatjuk, hogy jelentősen megugrott a követőink száma, vagy válaszüzeneteket kaphatunk olyan kommentekre, amiket nem is mi írtunk.

Hogyan védekezzünk?

A készülékek védelme érdekében töröljük a fent említett programot az Alkalmazáskezelőben, vagy használjunk megbízható mobilvédelmi megoldást a veszélyes elemek eltávolítására. Az Instagram fiókunk biztonságának érdekében azonnal változtassuk meg jelszavunkat! Amennyiben ugyanazt a jelszót több platformon használjuk, azokat is cseréljük le, mivel a kártékony alkalmazások készítői rendszerint megpróbálnak bejutni más webhelyekre is ugyanazon belépési adatokkal, ezért javasolt különböző jelszavakat használni különböző fiókjainkhoz.

Hogy megelőzzük közösségi fiókjaink feltörését, mielőtt letöltenénk egy Google Play alkalmazást, nézzük meg, mennyire népszerű az alkalmazás a letöltések száma, az értékelések és legfőképp a vélemények alapján. Ha kétségeink támadnak, válasszunk Top Developer jelzésű programot, vagy a különböző megbízható médiumok szerkesztői ajánlásai alapján töltsünk le alkalmazásokat.

Hirdetésmegjelenítő alkalmazások

Mielőtt azonban megnyugodnánk, hogy az alkalmazások értékeléseire támaszkodva elkerülhetjük a hasonló támadásokat, még mindig beleeshetünk egy másik trükkös alkalmazásfajta csapdájába. Szintén a Google Play áruházon keresztül támad néhány megtévesztő alkalmazás, amelyek tolakodó hirdetések megjelenítésével kényszerítik a felhasználókat, hogy magas értékelést adjanak, ezzel feltornázva a népszerűségi mutatóikat az áruházban. Az ESET kimutatásai szerint az ilyen hirdető applikációk összesen mintegy 800 ezer telepítést generáltak ezidáig.

Az ESET által detektált Android/Hiddad.BZ nevű trójai hirdetőprogramot rejtő alkalmazásokat már több mint 5000 felhasználó töltötte le, hogy YouTube tartalmakat érhessen el. Az alkalmazások a jól ismert módszerrel - hirdetések folyamatos, agresszív megjelenítésével - kértek 5 csillagos értékelést, azzal a hamis ígérettel, hogy utána eltávolítják a hirdetéseket.

Szintén agresszívan támadta az androidos vásárlókat a Subway Sonic Surf Jump hamis játékalkalmazás, amely megközelítőleg 500 ezer felhasználót tévesztett meg. Az alkalmazás folyamatosan hirdetéseket jelenített meg, amíg 5 csillagos értékelést nem adtunk neki, annak hamis reményében, hogy azután letölthetjük a játékot. A Google Play áruházból való eltávolítás előtt az alkalmazás 4.1-es átlagértékelést tudhatott magáénak, de az 5-ös csillagok magas aránya és a kényszerítés miatt panaszkodó vélemények már meglehetősen ellentmondásossá teszik a képet. Hasonló elv alapján működtek az Anime Wallpapers HD és a Latest online movies alkalmazások is, amelyeket a szintén töröltek már a Google Play áruházból.

Az alkalmazásokban használt Android/Hiddad.BZ trójai vírusból 7 verziót is találtak az ESET kutatói, amelyek hasonló elv alapján működtek: mindegyik alkalmazás "Music Mania" néven jelenik meg a programok között, majd az ikonra kattintva betöltődik a hirdetést megjelenítő komponens (ad-displaying component). Ez önmagában egy csaló rendszerüzenet, ami "android plugin" címszó alatt kér engedélyt a telepítésre és mindaddig eltakarja a képernyőt, amíg nem járulunk hozzá az installáláshoz.

A hirdetésmegjelenítő (ad-displaying payload) telepítése után a hamis plugin adminisztrátori jogosultságot kér eszközünkhöz egy újabb olyan felugró ablakban, amiből nem tudunk visszalépni. Az admin jogok megosztása után a képernyőnket hirdetések lepik el, amelyek 5 csillagos értékelésre kérnek minket azok eltávolításához. Az üzenetek törlése egy még nagyobb hirdetés lavinát indíthat el tovább provokálva a felhasználót az értékelésre. A kártékony alkalmazást február 27-én jelentette az ESET, amelyet fokozatosan vissza is vontak az áruházból.

Hogyan tisztíthatjuk meg a hirdető vírussal fertőzött készülékünket?

Az Alkalmazáskezelőnkben az eredeti alkalmazás ("Music Mania") törlése nem elegendő az eltávolításhoz, a fertőző bővítményt is kell távolítani. Ahhoz, hogy az Android/Hiddad.BZ-t teljes egészében eltávolítsuk az eszközről, le kell tiltanunk annak eszközadminisztrátori jogait (Beállítások -> Biztonság -> Eszközadminisztrátorok -> Engedélyezés szükséges). Ezután eltávolíthatjuk a plugin android-ot (Beállítások -> Alkalmazáskezelő -> plugin android).

Hogyan maradjunk biztonságban?

A Google Play értékelési rendszerét manipuláló, illetve a felhasználókat megtévesztő alkalmazások kapcsán feltehetnénk a kérdést: mit ér, ha letöltés előtt megnézzük az alkalmazás értékeléseit? Ez továbbra is fontos, azonban az értékelésen túl érdemes átfutni a felhasználói véleményeket is, hogy valós képet kapjunk arról, hogy mit kínál számunkra az adott alkalmazás. A felhasználók rendszerint kifejezetten őszintén fogalmaznak, még ha ez sokszor azt is jelenti, hogy panaszáradattal találkozunk, mert magas értékelésre kényszerítette őket egy agresszív alkalmazás.