HTCinside
Google Play Store підтримує високі стандарти безпеки, дозволяючи будь-кому завантажувати програми, але нещодавно російську хакерську групу під назвою «Sandworm» було спіймано на завантаженні підроблених програм у авторитетному магазині Google Play.
Про це стало відомо, коли проблему зафіксувала група TAG (Google Threat Analysis). TAG оприлюднив спостереження на конференції CyberwarCon в Арлінгтоні, штат Вірджинія. Ці російські хакери також відповідальні за розміщення шкідливого програмного забезпечення в електричних компаніях США в 2014 році, вони також проводили операції, які спричинили відключення електроенергії в Україні.
Ще один найдорожчий реєстр атак на ім’я «Sandworms» — «NotPetya». Крім того, є багато атак однієї групи, які поки що непомічені. Біллі Леонард з Google сказав, що «Sandworm використовував Україну як випробувальний полігон, полігон для нових видів діяльності». Він також повідомив, що в грудні 2017 року Google виявила, що хакерська група «Sandworm» також створювала підроблені версії корейських додатків для Android, таких як медіа, розклад транспорту та фінансове програмне забезпечення.
У блозі Google повідомляє, що перша атака відбулася в Південній Кореї в грудні 2017 року. Група «Sandworm» використовувала багато підроблених облікових записів на ім’я розробників і завантажувала близько 8 різних типів додатків у Google Play Store.
Читати –Дослідники зламали Siri, Alexa та Google Home, посвітивши на них лазерами
На перший погляд, кампанія провалилася. Фальшиві розробники змогли зібрати лише 10 установок на додаток. Однак також існує ймовірність, що вони вибрали цільових завантажувачів. Знову ж таки, ці хакери атакували у вересні 2017 року та потрапили на очі TAG, коли завантажували підроблену версію UKR, яка є програмою електронної пошти.
Група хакерів продовжує обманювати додатки Android, тому в 2018 році група намагалася вставити бекдори в існуючі та легальні додатки. Місцем вони обрали Україну. На щастя, Google Play Protect рятує користувачів від зараження в потрібний момент. «Це був їхній перший набіг на зловмисне програмне забезпечення Android», — каже Леонард. «Як і в минулому, Sandworm використовував Україну як тестовий полігон, полігон для нових видів діяльності».
Це не перший випадок, коли група хакерів намагається зламати ключ розробника, щоб впровадити своє шкідливе програмне забезпечення, але атаки групи «Sandworm» є значними, оскільки ця група стверджує, що вона пов’язана з російським урядом.
Google також підтвердив, що через цей інцидент видалив усі пов’язані облікові записи Google і понад 15 каналів YouTube. Google також запевняє користувачів, що вони постійно стежать за простором.
Подібних кампаній також було знайдено в Індонезії. Сама група «Sandworm» існує з 2014 року, утворюючи одну з груп середнього віку російської хакерської історії. Озираючись назад в історію, російські групи також були пов’язані з такими країнами, як Китай та Іран, тому було б несправедливо пов’язувати їх лише з російським урядом.