Veszélyben a Snap Store bizalom: régi, megbízhatónak hitt alkalmazásokon keresztül terjesztenek kártékony kódot

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

Komoly biztonsági figyelmeztetés érkezett a Linux Snap felhasználói számára, miután támadók egyre kifinomultabb módszerekkel juttatnak el kártékony szoftvereket a Snap Store-on keresztül. A Canonical által üzemeltetett alkalmazásáruház eddig egységes és megbízható terjesztési csatornaként működött, ám ez a bizalom most láthatóan megingott. A problémára Alan Pope, az Ubuntu közösség ismert alakja és korábbi Canonical-munkatárs hívta fel a figyelmet. Pope jelenleg is aktív Snap-kiadó, közel ötven csomagot karbantart, amelyeket felhasználók ezrei használnak.

Alan Pope friss blogbejegyzésében arról számolt be, hogy több mint egy éve zajlik egy célzott támadássorozat, amelynek keretében kártékony Snap-csomagok kriptovaluta-tárcáknak adják ki magukat. Ezek a hamis alkalmazások ismert projektek – például az Exodus, a Ledger Live vagy a Trust Wallet – nevével és megjelenésével élnek vissza, majd a felhasználóktól helyreállító kulcsokat (wallet recovery phrase) kérnek. Az adatok elküldése után a támadók rövid időn belül kiürítik az érintett tárcákat.

A kampány korábbi hullámaiban a támadók új Snap Store fiókokat hoztak létre, és meggyőző kinézetű alkalmazásoldalakkal próbálták elhitetni a hitelességet. Pope szerint azonban a mostani módszer ennél is veszélyesebb. A támadók már nem új kiadók mögé bújnak, hanem régi, megbízhatónak tűnő Snap-kiadói fiókokat vesznek át.

A módszer lényege, hogy figyelik azokat a Snap Store kiadókat, amelyekhez tartozó domainnév lejárt. Amint egy ilyen domain felszabadul, a támadók regisztrálják azt, majd jelszó-visszaállítást kezdeményeznek a Snap Store-ban a domainhez kötött e-mail címen keresztül. Így hozzáférést szereznek egy már létező, jó hírű kiadói fiókhoz, és rosszindulatú frissítéseket tolhatnak ki olyan alkalmazásokhoz, amelyeket a felhasználók akár évek óta bizalommal használnak.

Pope legalább két ilyen esetet azonosított, amelyek során a storewise.tech és a vagueentertainment.com domainek kerültek támadók kezébe. Ezek alatt korábban ártalmatlan Snap-csomagok futottak, amelyek később kriptotárca-lopásra alkalmas kóddal frissültek, miközben a kiadó neve és előélete változatlan maradt. Ez különösen veszélyessé teszi a támadást, mivel a felhasználók számára semmi sem utalt azonnal arra, hogy kompromittált alkalmazásról van szó.

A kártékony Snapek elemzése alapján visszatérő mintázat figyelhető meg. Az alkalmazások egy webalapú felületet jelenítenek meg, amely szinte tökéletesen lemásolja az eredeti tárcaszoftver kinézetét. Induláskor egy távoli szervert érnek el hálózati ellenőrzés céljából, majd a megadott helyreállító kulcsokat azonnal továbbítják a támadók infrastruktúrájába. Mire a felhasználó gyanút fogna, a pénzeszközök jellemzően már eltűntek.

Bár a Canonical eltávolítja a bejelentett rosszindulatú Snapeket a Snap Store-ból, Pope szerint a reagálás sokszor késik, és ez elegendő időt ad a támadóknak ahhoz, hogy valódi károkat okozzanak. A Snap ökoszisztéma jelenlegi működése így újraértelmezésre szorulhat, különösen az automatikus frissítések és a kiadói identitás ellenőrzése terén.

A fejlesztők számára Alan Pope azt javasolja, hogy mindig tartsák naprakészen domainregisztrációikat, és minden esetben használjanak kétlépcsős azonosítást (two-factor authentication). A felhasználók felé pedig még határozottabb figyelmeztetés hangzott el: kriptovaluta-tárca alkalmazásokat lehetőleg ne alkalmazásboltokból telepítsenek, hanem közvetlenül a projektek hivatalos weboldalairól szerezzék be azokat.

Az ügy rávilágít arra, hogy még a központosított, korábban megbízhatónak tartott Linuxos terjesztési modellek sem mentesek az ellátási lánc elleni támadásoktól, és a biztonságtudatosság mind fejlesztői, mind felhasználói oldalon egyre fontosabbá válik.