Eksperci z CERT Polska odkryli, że popularna aplikacja "Aparat kosmetyczny" zyskała nowe, niebezpieczne funkcje. Zainstalowana przez ponad 100 tysięcy użytkowników, została zaktualizowana 17 września 2024 roku. Choć na pierwszy rzut oka wydaje się być jedynie narzędziem do upiększania zdjęć, w rzeczywistości kryje znacznie mroczniejsze zamiary.

Podczas analizy technicznej, eksperci odkryli, że złośliwe oprogramowanie na Androida używa zaawansowanych technik maskowania, aby ukryć swoją obecność. Aplikacja wykorzystuje mechanizmy szyfrowania, by zamaskować komunikację z serwerami sterującymi, które znajdują się pod podejrzaną domeną kamisatu.top.

Nie tylko to — złośliwe oprogramowanie korzysta z natywnej biblioteki libphotoset.so do deszyfrowania skomplikowanego kodu i pobierania danych z zewnętrznych serwerów, co czyni je niewidzialnym dla większości użytkowników.

Jednym z najbardziej niepokojących aspektów tej aplikacji jest zdolność do automatycznego aktywowania płatnych subskrypcji, nawet bez wiedzy użytkownika. Wykorzystując techniki manipulacji w interfejsie WebView oraz skrypty JavaScript, automatyzuje proces subskrybowania usług płatnych.

Aplikacja w pierwszym kroku identyfikuje kraj użytkownika oraz operatora sieci komórkowej, analizując kody MCC i MNC, a następnie przechwytywanie wiadomości SMS w celu finalizacji nieautoryzowanych transakcji. Program automatycznie przechwytuje kody weryfikacyjne, co czyni go wyjątkowo niebezpiecznym narzędziem do wyłudzania pieniędzy.

Wyrafinowane metody ochrony przed wykryciem pozwalają aplikacji na ukrycie swojej aktywności, implementując własne techniki szyfrowania i obfuskacji kodu, co znacząco utrudnia analizę przez systemy ochrony.

CERT Polska ostrzega wszystkich użytkowników Androida o potencjalnych zagrożeniach związanych z tą aplikacją. Zdecydowanie zaleca się ostrożność podczas instalacji jakichkolwiek aplikacji, nawet tych pozornie niewinnych. Ważne jest, aby dokładnie sprawdzić uprawnienia, jakie aplikacja żąda — dostęp do SMS-ów czy możliwość wykonywania połączeń powinny wzbudzić szczególną czujność.

Jeśli zauważysz jakiekolwiek podejrzane zachowanie lub nieautoryzowane transakcje, zaleca się natychmiastowe usunięcie aplikacji i skontaktowanie się z operatorem sieci w celu zablokowania potencjalnych subskrypcji premium. Nie daj się oszukać i bądź na bieżąco z zagrożeniami w sieci!