Cercetătorii au colectat exemple de pe nouă forumuri Darknet diferite, în care se practică modalitățile de vânzare și cumpărare de bunuri și servicii legate de malware. Raportul scoate în evidență modul în care amenințările vândute pe Darknet apar pe Google Play și, de asemenea, dezvăluie ofertele disponibile, gama de prețuri și caracteristicile legate de comunicare și acordurile între infractorii cibernetici.
Chiar dacă magazinele oficiale de aplicații sunt supravegheate cu strictețe, serviciile de moderare nu pot depista întotdeauna aplicațiile rău intenționate înainte de a fi încărcate pe platformă. În fiecare an, o gamă largă de aplicații rău intenționate sunt șterse de pe Google Play numai după ce victimele au fost infectate. Infractorii cibernetici se adună pe Darknet – o întreagă lume digitală underground cu propriile reguli, prețuri de piață și instituții reputaționale – pentru a cumpăra și a vinde aplicații rău intenționate de pe Google Play, funcții suplimentare pentru a face upgrade și chiar pentru a-și promova creațiile.
La fel ca pe forumurile legitime pentru vânzarea mărfurilor, există și diverse oferte Darknet pentru diferite nevoi, dar și pentru clienți cu bugete diferite. Pentru a publica o aplicație rău intenționată, infractorii cibernetici au nevoie de un cont Google Play și de un cod de descărcare (Google Play Loader). Un cont de dezvoltator poate fi cumpărat ieftin, cu 200 USD și uneori chiar și cu 60 USD. Costul încărcărilor rău intenționate variază între 2.000 USD și 20.000 USD, în funcție de complexitatea programelor malware, de noutatea și prevalența codului rău intenționat, precum și de funcțiile suplimentare.
Cel mai adesea, malware-ul distribuit este ascuns sub forma unor instrumente tip tracker pentru criptomonede, aplicații financiare, scanere de coduri QR și chiar aplicații de dating. Infractorii cibernetici evidențiază, de asemenea, câte descărcări are versiunea legitimă a aplicației respective, ceea ce înseamnă câte victime potențiale pot fi infectate prin actualizarea aplicației și adăugarea de cod rău intenționat la aceasta. Cel mai frecvent sugestiile specifică 5.000 de descărcări sau mai mult.
Pentru o taxă suplimentară, infractorii cibernetici pot masca codul aplicației pentru a-l face mai greu de detectat de către soluțiile de securitate cibernetică. Pentru a crește numărul de descărcări către o aplicație rău intenționată, mulți atacatori oferă, de asemenea, achiziționarea de instalări – direcționând traficul prin reclamele Google și atrăgând mai mulți utilizatori să descarce aplicația. Instalările costă diferit pentru fiecare țară. Prețul mediu este de 0,50 USD, cu oferte variind de la 0,10 USD la aproape 1 dolar. Într-una dintre ofertele descoperite, reclamele pentru utilizatori din SUA și Australia au costat cel mai mult – 0,80 USD.
Atacatorii oferă trei tipuri de servicii: pentru o parte din profitul final, chirie și achiziționarea integrală, fie a unui cont, fie a unei amenințări. Unii vânzători chiar organizează licitații pentru a-și vinde bunurile, deoarece mulți dintre aceștia limitează numărul de loturi vândute. De exemplu, pentru o ofertă găsită prețul de pornire a fost de 1.500 USD, cu pași incrementali de 700 USD în licitație, iar blitzul – achiziția instantanee pentru cel mai mare preț – a fost de 7.000 USD.
Vânzătorii Darknet se pot oferi, de asemenea, să publice aplicația rău intenționată pentru cumpărător, astfel încât acesta să nu interacționeze direct cu Google Play, dar să poată primi de la distanță toate datele detectate ale victimelor. Poate părea că, într-un astfel de caz, dezvoltatorul poate înșela cu ușurință cumpărătorul, dar este obișnuit printre vânzătorii Darknet să-și păstreze și să-și mențină reputația, să promită garanții sau să accepte plata după ce termenii acordului au fost finalizați. Pentru a reduce riscurile atunci când fac tranzacții, infractorii cibernetici recurg adesea la serviciile intermediarilor dezinteresați, cunoscute sub numele de „escrow” – acestea pot deveni servicii speciale, susținute de o platformă ascunsă sau de o terță parte care nu este interesată de rezultatele tranzacției.
Găsiți mai multe exemple de amenințări de pe Google Play vândute pe Darknet în raportul complet pe Securelist.
Pentru a fi protejat de orice tip de amenințare mobilă, Kaspersky recomandă: