Trojany w serwisie dla twórców aplikacji dla Androida
Eksperci z Kaspersky Lab wykryli kilka trojanów dla Androida, których twórcy wykorzystują oficjalną usługę Google Cloud Messaging (GCM) do komunikacji z zainfekowanymi smartfonami i tabletami.
Google Cloud Messaging to doskonałe rozwiązanie umożliwiające zarządzanie legalnymi aplikacjami ich twórcom - jednak serwis ten okazał się "niecelowym wspólnikiem" w cyberprzestępstwach. Eksperci z Kaspersky Lab wykryli kilka popularnych szkodliwych programów, które wykorzystują GCM jako tani i łatwy kanał komunikacji ze swoimi twórcami.
Google Cloud Messaging (GCM) pozwala twórcom aplikacji komunikować się z programami zainstalowanymi na smartfonach i tabletach użytkowników. W ten sposób mogą wysyłać różne rodzaje informacji, od zwykłych powiadomień po instrukcje dla aplikacji. Serwis ten jest wykorzystywany do lokalizowania skradzionych telefonów, zdalnej konfiguracji ustawień, wysyłania wiadomości o nowych poziomach gier lub towarach itd. GCM Został stworzony, aby ułatwić twórcom aplikacji na Androida wspieranie programów pobieranych i instalowanych na urządzeniach użytkowników. Dzięki tej usłudze autorzy programów nie muszą budować własnej infrastruktury IT.
Jednak GCM przyciąga również cyberprzestępców, którzy zaczęli wykorzystywać go zamiast własnych serwerów kontroli. Rejestrując się w serwisie szkodliwi użytkownicy mogą szybciej i taniej zarządzać zainfekowanymi urządzeniami z Androidem. Specjaliści z Kaspersky Lab wykryli kilka próbek niebezpiecznego szkodliwego oprogramowania atakującego właścicieli urządzeń z Androidem, które wykorzystuje GCM w celu otrzymywania poleceń od cyberprzestępców.
Przykładem może być FakeInst.a, który potrafi wysyłać wiadomości tekstowe na numery premium oraz usuwać wiadomości przychodzące lub tworzyć skróty do szkodliwych stron i wyświetlać powiadomienia zawierające reklamy innych szkodliwych programów, rozprzestrzenianych pod przykrywką przydatnych aplikacji lub gier. Z kolei trojan OpFake.a, oprócz wysyłania wiadomości tekstowych na numery premium, potrafi również kraść wiadomości i kontakty, usuwać wiadomości przychodzące i wiele więcej.
Roman Unuchek, starszy analityk szkodliwego oprogramowania w Kaspersky Lab, nie jest zdziwiony pojawieniem się szkodliwych programów wykorzystujących tę usługę Google: "Byłoby dziwne, gdyby twórcy wirusów nie wykorzystywali możliwości oferowanych przez ten serwis. Obecnie nie istnieje wiele mobilnych szkodliwych programów wykorzystujących GCM, jednak niektóre z nich już teraz są dość popularne - występują w niektórych częściach Europy Zachodniej i Azji. Jedynym sposobem zerwania tych kanałów komunikacji między twórcami wirusów a ich szkodliwym oprogramowaniem jest zablokowanie kont twórców, których identyfikatory zostały użyte podczas rejestracji szkodliwych programów. Poinformowaliśmy Google o wykrytym identyfikatorze w GCM wykorzystywanym w szkodliwym oprogramowaniu".
