Aplikacje mobilne

W sklepie Google Play odnaleziono 28 aplikacji infekujących urządzenia z systemem Android

Firma Doctor Web informuje, że w sklepie Google Play odnaleziono 28 aplikacji zdolnych do infekcji Andoida.

doctor web android google play aplikacja infekujące system

Firma Doctor Web zajmująca się produkcją rozwiązań antywirusowych gwarantujących bezpieczeństwo systemu informuje, że w oficjalnym sklepie Google Play odnaleziono 28 aplikacji zawierających szkodliwy moduł reklamowy, który ma możliwość infekowania trojanami urządzeń pracujących z systemem Android.

Zdaniem ekspertów łączna liczba instalacji tych aplikacji, a w rezultacie także potencjalnie zainfekowanych urządzeń, sięga obecnie kilku milionów. Od czasu wprowadzenia systemu antywirusowego Google Bouncer, jest to najpoważniejszy i najbardziej masowy przypadek zainfekowania systemu Android złośliwymi aplikacjami, które znajdują się w sklepie Google Play.

Reklamy wyświetlane w sklepie internetowym Google Play od dawna wykorzystywane były przez hakerów do rozsyłania szkodliwego oprogramowania, w tym do rozpowszechniania trojanów. Do tej pory najbardziej popularnymi wśród nich były trojany z rodziny Android.SmsSend, przeznaczone do wysyłania SMS-ów Premium i dokonywania w imieniu użytkowników subskrypcji na usługi zawierające płatne treści. Skuteczność tej metody zadecydowała o ponownym posłużeniu się nią przez internetowych oszustów.

google play sklep android aplikacje infekujące system

Tym razem cyberprzestępcy postanowili pójść o krok dalej i utworzyli własną platformę reklamową dedykowaną urządzeniom mobilnym z systemem Android, podobną do Google AdMob, Airpush czy Startapp. Na pierwszy rzut oka nie różni się ona niczym od pozostałych działających na rynku: oferuje twórcom oprogramowania wyjątkowo atrakcyjne warunki, na których mogą oni tworzyć aplikacje reklamowe, korzystając z udostępnianego API, obiecuje wysoki i stabilny dochód, a także wygodę zarządzania i kontroli napływających środków pieniężnych.

Tak jak w wielu innych rodzajach oprogramowania typu Adware, reklamy wyświetlane są w pasku powiadomień poprzez wykorzystanie metody „push”. Oprócz tego platforma ta zawiera także szereg innych, ukrytych możliwości.

Jedną z nich jest wyświetlanie powiadomienia o konieczności aktualizacji konkretnej aplikacji. W sytuacji, gdy użytkownik się na to zgodzi, pobierany jest plik z rozszerzeniem „.apk” (format używany do dystrybucji oprogramowania na platformie Android), który zostaje umieszczony na karcie pamięci w katalogu /mnt/sdcard/download. Zawarty w nim szkodliwy kod może także utworzyć na głównym ekranie telefonu skrót do pobranego pliku. Jeżeli użytkownik kliknie jego ikonę, zostanie uruchomiony proces instalacji odpowiadającego mu, złośliwego oprogramowania.

android aplikacje infekujące system

Przeprowadzone przez specjalistów z firmy Doctor Web badanie wykazało, że zainstalowane w ten sposób aplikacje to w rzeczywistości trojany z rodziny Android.SmsSend. Zidentyfikowane adresy serwerów zarządzających już kilka dni temu zostały włączone do modułu Kontroli rodzicielskiej antywirusa Doctor Web, w wyniku czego próby połączenia z nimi są natychmiast blokowane.

Poniżej pełna lista komend, które może przyjmować i wykonywać platforma reklamowa zawierająca szkodliwe oprogramowanie:

  • news – wyświetlenie powiadomienia „push”
  • showpage – otworzenie strony internetowej w przeglądarce
  • install – pobranie i zainstalowanie pliku .apk
  • showinstall – wyświetlenie powiadomienia „push” umożliwiającego instalację pliku .apk
  • iconpage – utworzenie skrótu do strony internetowej
  • iconinstall – utworzenie skrótu do pliku .apk
  • newdomen – zmiana adresu serwera zarządzającego
  • seconddomen – alternatywny adres serwera zarządzającego
  • stop – zakończenie komunikacji z serwerem
  • testpost – powtórne wysłanie komendy

Oprócz wykonywania powyższych komend fałszywa platforma ma także możliwość pobierania i wysyłania na serwer zarządzający następujących danych: numeru IMEI urządzenia mobilnego, kodu operatora i numeru IMSI danej karty SIM.

android działąnie aplikacja infekcja system

Największym zagrożeniem jest fakt, że aplikacje, które zawierały wspomniane złośliwe oprogramowanie, były umieszczone w oficjalnym sklepie Google Play, który uważany jest za najbezpieczniejszy element systemu Android. Ponieważ wielu użytkowników ufa, że Google Play jest w pełni bezpieczne, liczba instalacji aplikacji zainfekowanych niebezpiecznym modułem reklamowym jest bardzo duża. Z powodu ograniczeń stosowanych przez firmę Google w zakresie danych statystycznych na temat liczby aplikacji ściągniętych ze sklepu Google Play, nie można z absolutną dokładnością wskazać całkowitej liczby potencjalnych ofiar.

Na podstawie informacji posiadanych przez specjalistów z firmy Doctor Web można jednak stwierdzić, że prawdopodobna liczba poszkodowanych może wynosić ponad 5,3 miliona użytkowników.

Specjaliści z Doctor Web zakwalifikowali dany moduł do kategorii adware jako Android.Androways.1.origin.

Źródło: Doctor Web, inf. prasowa

Komentarze

5
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Hardcore
    1
    Nie wiem jak w innych sieciach, ale ja w playu mam na stronie play24 w usługach dodatkowych możliwość włączenia: "Blokady progu usług Premium (od 35 do 200)" i "Blokady ceny usług Premium (od 3 do 15)".

    Bardzo przydatna opcja i jest bezpłatna.
    Nie musze sie obawiać ze jakaś appa pożre mi kasę z konta.
    Nie nie jestem żadnym przedstawicielem.
    Jestem użytkownikiem tej sieci.

    AV i tak mam tak dla pewności (Avast)
    • avatar
      RexRX
      0
      Czyli najlepiej nie ściągać aplikacji z nieznanych stron.