Nawet aplikacja z oficjalnego sklepu nie musi być legalna! Niestety. Mimo coraz lepszych sposobów Google na wykrycie oszustw/złośliwych aktywności na etapie publikacji zdarzają się aplikacje, które przechodzą przez ochronne sito. Dlaczego? Dlatego, że w zasadzie... nie robią nic złośliwego. To tylko phishing, opakowany w formę pliku APK. Przyjrzyjmy się jednemu z przykładów, aplikacji podszywającej się pod „Orlen Inwestycje”.

Po zainstalowaniu aplikacji (bez konieczności zgody na instalację aplikacji zewnętrznych – w momencie testowania była ona dostępna w Sklepie Play) i jej uruchomieniu ukazuje się następujący formularz:

 

Wygląd bliźniaczo przypomina stronę graficzną popularnych stron, podszywających się pod inwestycje naftowego giganta. Po prostu, dla uwiarygodnienia, zostały one zamienione w formę aplikacji mobilnej.

Do pobrania URL z formularzem phishingowym aplikacja używa platformy Firebase. Pobrane dane wyglądają następująco: 

{"af_id":"ZskNNfyEQYMbgpPeYVDZ8j","message_welcome":"https:\/\/app.neogara.com\/api\/pub\/links?apiKey=h4mNLOctjHCLRMNsBc","show_ad":"true"}

W polu “message_welcome” znajduje się  interesujący nas url. Aby otrzymać kompletny adres, który umożliwi przekierowanie na docelowy formularz, należy przyjrzeć się następującej części kodu aplikacji:

Interesuje nas pole “SAVED_URL” z tzw. “Udostępnionych preferencji” (ang. Shared preferences). Po dodaniu niezbędnych parametrów do zapytania http get otrzymujemy URL:

hxxps://app[.]neogara.com/api/pub/links?apiKey=h4mNLOctjHCLRMNsBc&deviceID=123451234&afid=ZskNNfyEQYMbgpPeYVDZ8j&appId=com.orlenpl.financer

Prowadzi on do serii przekierowań. Na jednej z tych domen znajduje się też formularz ze ścieżką “/test” z treścią w języku rosyjskim.