Breșă de securitate la Google găsită de hackeri pentru a difuza reclame false care promiteau descărcarea aplicației Authenticator. Unde ducea de fapt

Google se confruntă cu o nouă problemă de securitate, după ce hackerii au folosit imaginea companiei pentru a difuza reclame false care promiteau descărcarea Google Authenticator.

În cadrul unei campanii recente de publicitate malițioasă, hackerii au achiziționat spațiu publicitar „sponsorizat” în Google Search pentru a promova un link fals de descărcare a aplicației „Google Authenticator”.

Practic, oricine a căutat „Google Authenticator” a putut da peste această reclamă, care părea perfect legală și părea să utilizeze URL-ul „www.google.com„.

După ce făceau clic pe anunț, victimele erau întâmpinate cu o clonă convingătoare a site-ului Google Authenticator, cu URL-ul „www.chromeweb-authenticators.com”. Apăsarea butonului proeminent „Download Authenticator” de pe acest site web ducea la o descărcare rapidă pentru „Authenticator.exe”, un executabil găzduit pe GitHub. Sursa acestui executabil, plus faptul că a fost semnat, a însemnat că nu a existat niciun control din partea browserelor web ale victimelor sau a antivirusului Windows Defender.

Executabilul era de fapt un malware de furt de informații numit DeerStealer. Malwarebytes a anunțat că a luat cunoștință de campania publicitară malițioasă și a contactat imediat Google, care a eliminat anunțul incriminat de pe platforma sa.

Cum au făcut hackerii breșa de securitate la Google

În ceea ce privește modul în care s-a întâmplat acest lucru – ei bine, este destul de simplu. Google a vândut din greșeală spațiu publicitar hackerilor. Într-o conversație cu Bleeping Computer, compania a declarat că hackerii au ocolit sistemele umane și automate de control al calității prin „utilizarea manipulării textului și a camuflării pentru a afișa … site-uri web diferite de cele pe care le-ar vedea un vizitator obișnuit”.

Hackerii știu că majoritatea oamenilor dau clic pe reclame aleatorii. Problema, desigur, este că rezultatele de căutare „sponsorizate” ale Google nu sunt „reclame tradiționale”. Acestea sunt concepute pentru a fi relevante pentru orice subiect pe care îl căutați și sunt adesea utilizate de companii legitime care doresc să fie prezentate mai proeminent în Căutarea Google.

Chiar dacă vă dați seama că un rezultat al căutării este „sponsorizat”, acesta poate fi exact ceea ce ați încercat să găsiți.

În acest caz, victimele căutau un produs pe Google. Multe dintre victime au găsit un anunț pentru produs și au făcut clic pe el fără să fie conștiente de pericole.

Nu este prima dată când platforma de publicitate Google este utilizată pentru distribuirea de malware sau phishing. De fapt, combaterea programelor malware a fost o luptă de zeci de ani pentru Google și, în mod inevitabil, va continua să fie o luptă și în viitor. Acest lucru se întâmplă în ciuda faptului că, din punct de vedere istoric, Google este cel mai proactiv în eliminarea programelor malware din platforma sa publicitară și din motorul său de căutare.

Evitați să faceți clic pe rezultatele „Sponsorizate” în Google Search. Acest lucru poate fi mai ușor de spus decât de făcut, deoarece este dificil să distingeți aceste anunțuri de rezultatele normale ale căutării, potrivit Howtogeek.com.

Atacuri de tip spyware în 5 aplicații de pe Android

De asemenea, o nouă iterație a unui spyware sofisticat pentru Android, denumit Mandrake, a fost descoperită în cinci aplicații care puteau fi descărcate din Google Play Store și care au rămas nedetectate timp de doi ani.

Aplicațiile au atras un total de peste 32.000 de instalări înainte de a fi retrase din magazinul de aplicații.

Majoritatea descărcărilor proveneau din Canada, Germania, Italia, Mexic, Spania, Peru și Marea Britanie.

„Noile mostre au inclus noi straturi de ofuscare și tehnici de evitare, cum ar fi mutarea funcționalității malițioase în biblioteci native ofuscate, utilizarea certificatului pinning pentru comunicațiile C2 și efectuarea unei game largi de teste pentru a verifica dacă Mandrake rulează pe un dispozitiv rădăcinat sau într-un mediu emulat”, au declarat cercetătorii Tatyana Shishkova și Igor Golovin.

Mandrake a fost documentat pentru prima dată de furnizorul român de securitate cibernetică Bitdefender în mai 2020, descriind abordarea sa deliberată de a infecta o mână de dispozitive în timp ce reușea să se ascundă în umbră încă din 2016.

Lista aplicațiilor care conțin Mandrake:

AirFS (com.airft.ftrnsfr)
Amber (com.shrp.sght)
Astro Explorer (com.astro.dscvr)
Brain Matrix (com.brnmth.mtrx)
CryptoPulsing (com.cryptopulsing.browser)