Cybercriminelen gebruiken Darknet om schadelijke Google Play-apps te verkopen voor maximaal 20.000 dollar

Met behulp van Kaspersky Digital Footprint Intelligence verzamelden de onderzoekers voorbeelden van negen verschillende Darknet-fora waar de aan- en verkoop van goederen en diensten met betrekking tot malware plaatsvindt. Het rapport werpt licht op de manier waarop op Darknet verkochte bedreigingen op Google Play verschijnen en toont ook de beschikbare aanbiedingen, de prijsklasse en de kenmerken van de communicatie en afspraken tussen cybercriminelen.

Zelfs als officiële app stores streng worden gecontroleerd, kunnen controlediensten niet altijd schadelijke apps onderscheppen voordat ze worden geüpload. Elk jaar wordt een groot aantal schadelijke apps op Google Play pas verwijderd nadat slachtoffers zijn geïnfecteerd. Cybercriminelen verzamelen zich op het Darknet - een ondergrondse digitale wereld met zijn eigen regels, marktprijzen en reputatie-instituten - om schadelijke apps van Google Play te kopen en verkopen, en aanvullende functies om hun creaties te upgraden en er zelfs reclame voor te maken.

Net als op legitieme fora voor de verkoop van goederen zijn er ook op het Darknet verschillende aanbiedingen voor verschillende behoeften en klanten met verschillende budgetten. Om een schadelijke app te publiceren, hebben cybercriminelen een Google Play-account en een schadelijke downloadercode (Google Play Loader) nodig. Een developer account kan goedkoop worden gekocht, voor $200 en soms zelfs voor slechts $60. De kosten van kwaadaardige loaders variëren tussen $2.000 en $20.000, afhankelijk van de complexiteit van de malware, de originaliteit en de verspreiding van de kwaadaardige code en de extra functies.

Voorbeeld van een gemiddeld aanbod van Google Play-dreiging

Meestal wordt gesuggereerd dat de verspreide malware verborgen zit onder cryptocurrency trackers, financiële apps, QR-code scanners en zelfs dating apps. Cybercriminelen benadrukken ook hoeveel downloads de legitieme versie van die app heeft, wat aangeeft hoeveel potentiële slachtoffers kunnen worden geïnfecteerd door de app te updaten en er kwaadaardige code aan toe te voegen. Meestal vermelden de suggesties 5.000 downloads of meer.

De cybercrimineel verkoopt een Google Play-dreiging verborgen onder het mom van cryptocurrency tracker

Tegen een extra vergoeding kunnen cybercriminelen de code van de applicatie verbergen, zodat deze moeilijker te detecteren is door cybersecurity-oplossingen. Om het aantal downloads van een kwaadaardige app te verhogen, bieden veel aanvallers ook aan om installaties te kopen - waarbij verkeer via Google-advertenties wordt geleid en meer gebruikers worden aangetrokken om de app te downloaden. De prijzen van installaties zijn per land verschillend. De gemiddelde prijs is $0,50, met aanbiedingen die variëren van $0,10 tot meerdere dollars. In een van de ontdekte aanbiedingen kosten advertenties voor gebruikers uit de VS en Australië het meest - $0,80.

Fraudeurs bieden drie soorten werk aan: voor een deel van de uiteindelijke winst, huur en volledige aankoop van een account of een bedreiging. Sommige verkopers houden zelfs veilingen om hun goederen te kopen, aangezien veel verkopers het aantal verkochte exemplaren beperken. Bij één aanbieding die Kaspersky vond, was de startprijs bijvoorbeeld $1.500, met $700 incrementele stappen in de veiling, en de blitz - de onmiddellijke aankoop voor de hoogste prijs - was $7.000.

Darknet-verkopers kunnen ook aanbieden de kwaadaardige app voor de koper te publiceren, zodat deze niet rechtstreeks met Google Play in contact komt, maar wel op afstand alle gedetecteerde gegevens van de slachtoffers kan binnenhalen. Het lijkt misschien dat de ontwikkelaar in zo'n geval de koper gemakkelijk kan misleiden, maar het is gebruikelijk dat Darknet-verkopers hun reputatie in stand houden, garanties beloven of betaling accepteren nadat de voorwaarden van de overeenkomst zijn vervuld. Om de risico's bij het sluiten van deals te beperken nemen cybercriminelen vaak hun toevlucht tot de diensten van belangeloze tussenpersonen, bekend als "escrow". De escrow kan een speciale dienst worden en ondersteund worden door een schaduwplatform, of een derde partij die niet geïnteresseerd is in de resultaten van de transactie.

 "Kwaadaardige mobiele apps blijven een van de belangrijkste cyberdreigingen die gericht zijn tegen gebruikers, met meer dan 1,6 miljoen gedetecteerde mobiele aanvallen in 2022. Tegelijkertijd neemt ook de kwaliteit toe van de cybersecurity-oplossingen die gebruikers tegen deze aanvallen beschermen. Op Darknet vonden we berichten van cybercriminelen die klaagden dat het voor hen nu veel moeilijker is om hun kwaadaardige apps te uploaden naar officiële app stores. Dit betekent echter ook dat ze nu met veel geraffineerdere ontwijkingsconstructies zullen komen, dus gebruikers moeten alert blijven en zorgvuldig controleren welke apps ze downloaden", aldus Alisa Kulishenko, security-expert bij Kaspersky.

Vind meer voorbeelden van bedreigingen op Google Play die op Darknet worden verkocht in het volledige rapport op Securelist.