Experţii Kaspersky, care analizează ofertele de aplicaţii rău intenţionate de pe Google Play pentru vânzarea pe Darknet, au descoperit că aplicaţiile mobile rău intenţionate şi conturile de dezvoltatori de magazine sunt vândute pentru sume de până la 20.000 de dolari.
Folosind Kaspersky Digital Footprint Intelligence, cercetătorii au colectat exemple de pe nouă forumuri Darknet diferite, în care se practică modalităţile de vânzare şi cumpărare de bunuri şi servicii legate de malware. Raportul scoate în evidenţă modul în care ameninţările vândute pe Darknet apar pe Google Play şi, de asemenea, dezvăluie ofertele disponibile, gama de preţuri şi caracteristicile legate de comunicare şi acordurile între infractorii cibernetici.
Chiar dacă magazinele oficiale de aplicaţii sunt supravegheate cu stricteţe, serviciile de moderare nu pot depista întotdeauna aplicaţiile rău intenţionate înainte de a fi încărcate pe platformă. În fiecare an, o gamă largă de aplicaţii rău intenţionate sunt şterse de pe Google Play numai după ce victimele au fost infectate. Infractorii cibernetici se adună pe Darknet - o întreagă lume digitală underground cu propriile reguli, preţuri de piaţă şi instituţii reputaţionale - pentru a cumpăra şi a vinde aplicaţii rău intenţionate de pe Google Play, funcţii suplimentare pentru a face upgrade şi chiar pentru a-şi promova creaţiile.
La fel ca pe forumurile legitime pentru vânzarea mărfurilor, există şi diverse oferte Darknet pentru diferite nevoi, dar şi pentru clienţi cu bugete diferite. Pentru a publica o aplicaţie rău intenţionată, infractorii cibernetici au nevoie de un cont Google Play şi de un cod de descărcare (Google Play Loader). Un cont de dezvoltator poate fi cumpărat ieftin, cu 200 USD şi uneori chiar şi cu 60 USD. Costul încărcărilor rău intenţionate variază între 2.000 USD şi 20.000 USD, în funcţie de complexitatea programelor malware, de noutatea şi prevalenţa codului rău intenţionat, precum şi de funcţiile suplimentare.
Cel mai adesea, malware-ul distribuit este ascuns sub forma unor instrumente tip tracker pentru criptomonede, aplicaţii financiare, scanere de coduri QR şi chiar aplicaţii de dating. Infractorii cibernetici evidenţiază, de asemenea, câte descărcări are versiunea legitimă a aplicaţiei respective, ceea ce înseamnă câte victime potenţiale pot fi infectate prin actualizarea aplicaţiei şi adăugarea de cod rău intenţionat la aceasta. Cel mai frecvent sugestiile specifică 5.000 de descărcări sau mai mult.
Pentru o taxă suplimentară, infractorii cibernetici pot masca codul aplicaţiei pentru a-l face mai greu de detectat de către soluţiile de securitate cibernetică. Pentru a creşte numărul de descărcări către o aplicaţie rău intenţionată, mulţi atacatori oferă, de asemenea, achiziţionarea de instalări - direcţionând traficul prin reclamele Google şi atrăgând mai mulţi utilizatori să descarce aplicaţia. Instalările costă diferit pentru fiecare ţară. Preţul mediu este de 0,50 USD, cu oferte variind de la 0,10 USD la aproape 1 dolar. Într-una dintre ofertele descoperite, reclamele pentru utilizatori din SUA şi Australia au costat cel mai mult - 0,80 USD.
Atacatorii oferă trei tipuri de servicii: pentru o parte din profitul final, chirie şi achiziţionarea integrală, fie a unui cont, fie a unei ameninţări. Unii vânzători chiar organizează licitaţii pentru a-şi vinde bunurile, deoarece mulţi dintre aceştia limitează numărul de loturi vândute. De exemplu, pentru o ofertă găsită preţul de pornire a fost de 1.500 USD, cu paşi incrementali de 700 USD în licitaţie, iar blitzul - achiziţia instantanee pentru cel mai mare preţ - a fost de 7.000 USD.
Vânzătorii Darknet se pot oferi, de asemenea, să publice aplicaţia rău intenţionată pentru cumpărător, astfel încât acesta să nu interacţioneze direct cu Google Play, dar să poată primi de la distanţă toate datele detectate ale victimelor. Poate părea că, într-un astfel de caz, dezvoltatorul poate înşela cu uşurinţă cumpărătorul, dar este obişnuit printre vânzătorii Darknet să-şi păstreze şi să-şi menţină reputaţia, să promită garanţii sau să accepte plata după ce termenii acordului au fost finalizaţi. Pentru a reduce riscurile atunci când fac tranzacţii, infractorii cibernetici recurg adesea la serviciile intermediarilor dezinteresaţi, cunoscute sub numele de "escrow" - acestea pot deveni servicii speciale, susţinute de o platformă ascunsă sau de o terţă parte care nu este interesată de rezultatele tranzacţiei.