Bár itthon manapság keveset hallani a Kasperskyről, az orosz titkosszolgálatokkal is gyanúba kevert kiberbiztonsági cég dolgozik töretlenül. A napokban például közzétettek egy jelentést, ami négy év kutatási anyagát összegzi. 2019 és 2023 között mélyebben megfigyelték a Darknet kilenc piacterét, és így fel tudták térképezni azokat a mechanizmusokat, ahogyan a kiberbűnözők eljuttatják a Google Playen keresztül a felhasználók eszközeiig a káros kódokat. A megfigyelt feketepiacokon minden szükséges kód és szolgáltatás beszerezhető ehhez.

A hatékonyabb eszközök drágák

A támadóknak először is szükségük van egy Play fejlesztői fiókra, ezek ára 60 és 200 dollár között mozog. Ez azonban csak az alap. A legjobb (és legdrágább) eszköz az úgynevezett "loader" program, mert az juttatja be házon belülre a támadó kódot. Ha ugyanis valaki egyszerűen feltöltene egy káros kódokat tartalmazó appot, azt nagy valószínűséggel a Google Play automatizált ellenőrző mechanizmusai kiszúrják, és még a feltöltő fejlesztői fiókját is törölhetik. Ezért a csali appot először tisztán telepítik, csupán a speciális, kívülről ártatlannak látszó loadert rejtik el benne. Annak lesz a feladata, hogy később frissítés formájában letöltse és telepítse az appba a rosszindulatú kódot.

A frissítés jellemzően extra hozzáférését kér adatokhoz, fájlokhoz. Ha ezeket az engedélyeket a felhasználó nem akarná megadni, az alkalmazás pressziót alkalmaz: pl. figyelmezteti a felhasználót, hogy engedélyek hiányában erősen korlátos lesz a funkcionalitása. A loaderek viszonylag drágák: komplexitásuk és tudásuk függvényében 2 és 20 ezer dollár között mozog az áruk.

Az árnál sok tényező számít: felhasználóbarát-e a kezelőfelület, mennyire kényelmes a vezérlőpanel használata, milyen Android-verziókat támogat, a célpontok szűrhetők-e országonként stb. Az igazán profi szolgáltatók még bemutató videókat is mellékelnek a digitális pajszer- és álkulcskészlethez, esetleg demóverziót is felajánlanak az ígéretes ügyfeleknek.

A loaderek általában rugalmasan bővíthetők. Olyan funkciókkal szokták kiegészíteni, mint például a debugger vagy a sandbox környezet felismerése. Ezek gyanús/veszélyes környezetet észlelve leállíthatják a loadert, vagy riasztást küldhetnek a támadónak, hogy valószínűleg lebukott az appja.

Ha valaki kisebb büdzséből gazdálkodik, a loadernél olcsóbban is megúszhatja káros kódja beültetését: igénybe vehet 50-100 dollárért ún. bindig szolgáltatást, amely megpróbál bevinni egy rosszindulatú APK fájlt egy törvényes alkalmazásba. A szolgáltatás nem véletlenül olcsó: alacsony a sikeres telepítési aránya.

A Kaspersky által vizsgált feketepiacokon szinte bármit meg lehet venni. A virtuális privát szerverek, amelyekre a támadók átirányíthatják a forgalmat vagy a fertőzött eszközöket, kb. 300 dollárba kerülnek. Ún. webinjektorokat, melyek figyelik, hogy az áldozatok meglátogatják-e a kiválasztott webhelyeket a fertőzött eszközeiken, illetve a meglátogatott oldalakat pl. adatlopó oldalakkal helyettesítik, 25-80 dollárért lehet szerezni. De vannak olyan szolgáltatások, melyek a rosszindulatú szoftverek értelmezését nehezítik meg (obfuscation). A szolgáltatás ára jellemzően 30 dollár/fájl körül mozog, de csomagban akár 10 dollár közelébe is csökkenhet az ár.

Sőt, már az appok terítésére is vannak szolgáltatások, melyek példányonként 10 centtől 1 dollárig terjedő összegért vállalják a telepítést.

Nincs tökéletes védelem

A Google Play a feltöltés előtt szigorúan ellenőriz minden appot, és a már fent lévő kínálatot is rendszeresen monitorozza. A védelem azonban nem (nem lehet) tökéletes: a kiberbűnözők újabb és újabb módszereket találnak ki a biztonsági szabályok kijátszására. A Kaspersky csak 2022-ben több mint 1,6 millió rosszindulatú vagy nem kívánt szoftvert azonosított mobil eszközökön.

Erről részben a felhasználók tehetnek. Alapszabály ugyanis, írja a Kaspersky jelentése, hogy nem szabad engedélyezni ismeretlen alkalmazások telepítését, illetve még az ismert alkalmazások esetében is ellenőrizni kell, hogy mihez kér hozzáférést.