Uwaga na aplikacje, które infekują system Android

Firma Doctor Web informuje, że w sklepie Google Play odnaleziono 28 aplikacji zawierających szkodliwy moduł reklamowy, który ma możliwość infekowania trojanami urządzeń z Androidem. Łączna liczba instalacji tych aplikacji sięga obecnie kilku milionów. Od czasu wprowadzenia systemu antywirusowego Google Bouncer, jest to najpoważniejszy przypadek zainfekowania Androida złośliwymi aplikacjami ze sklepu Google Play.

Liczba ofiar trojanów Android.SmsSend pobranych z Google Play może wynosić ponad 5,3 miliona
Liczba ofiar trojanów Android.SmsSend pobranych z Google Play może wynosić ponad 5,3 milionaAFP

Reklamy wyświetlane w sklepie internetowym Google Play od dawna wykorzystywane były przez hakerów do rozsyłania szkodliwego oprogramowania, w tym do rozpowszechniania trojanów. Do tej pory najbardziej popularnymi wśród nich były trojany z rodziny Android.SmsSend, przeznaczone do wysyłania SMS-ów Premium i dokonywania w imieniu użytkowników subskrypcji na usługi zawierające płatne treści. Skuteczność tej metody zadecydowała o ponownym posłużeniu się nią przez internetowych oszustów.

Tym razem cyberprzestępcy postanowili pójść o krok dalej i utworzyli własną platformę reklamową dedykowaną urządzeniom mobilnym z systemem Android, podobną do Google AdMob, Airpush czy Startapp. Na pierwszy rzut oka nie różni się ona niczym od pozostałych działających na rynku: oferuje twórcom oprogramowania wyjątkowo atrakcyjne warunki, na których mogą oni tworzyć aplikacje reklamowe korzystając z udostępnianego API, obiecuje wysoki i stabilny dochód, a także wygodę zarządzania i kontroli napływających środków pieniężnych.

Tak jak w wielu innych rodzajach oprogramowania typu Adware, reklamy wyświetlane są w pasku powiadomień poprzez wykorzystanie metody "push". Oprócz tego, platforma ta zawiera także szereg innych, ukrytych możliwości.

Jedną z nich jest wyświetlanie powiadomienia o konieczności aktualizacji konkretnej aplikacji. W sytuacji, gdy użytkownik się na to zgodzi, pobierany jest plik .apk (format używany do dystrybucji oprogramowania na platformie Android), który zostaje umieszczony na karcie pamięci w katalogu /mnt/sdcard/download. Zawarty w nim szkodliwy kod może także utworzyć na głównym ekranie telefonu skrót do pobranego pliku. Jeżeli użytkownik kliknie w jego ikonę, zostanie uruchomiony proces instalacji odpowiadającego mu, złośliwego oprogramowania.

Przeprowadzone przez specjalistów badanie wykazało, że zainstalowane w ten sposób aplikacje to w rzeczywistości trojany z rodziny Android.SmsSend. Poniżej przedstawiamy pełną listę komend, które może przyjmować i wykonywać platforma reklamowa zawierająca szkodliwe oprogramowanie:

- news - wyświetlenie powiadomienia "push" - showpage - otworzenie strony internetowej w przeglądarce- install - pobranie i zainstalowanie pliku .apk- showinstall - wyświetlenie powiadomienia "push" umożliwiającego instalację pliku .apk- iconpage - utworzenie skrótu do strony internetowej - iconinstall - utworzenie skrótu do pliku .apk- newdomen - zmiana adresu serwera zarządzającego- seconddomen - alternatywny adres serwera zarządzającego- stop - zakończenie komunikacji z serwerem- testpost - powtórne wysłanie komendy

Oprócz wykonywania powyższych komend, fałszywa platforma ma także możliwość pobierania i wysyłania na serwer zarządzający następujących danych: numeru IMEI urządzenia mobilnego, kodu operatora i numeru IMSI danej karty SIM.

Największym zagrożeniem jest fakt, że aplikacje, które zawierały to złośliwe oprogramowanie, były umieszczone w oficjalnym sklepie Google Play, który uważany jest za najbezpieczniejszy element systemu Android. Ponieważ wielu użytkowników ufa, że Google Play jest w pełni bezpieczne, liczba instalacji aplikacji zainfekowanych niebezpiecznym modułem reklamowym jest bardzo duża. Z powodu ograniczeń stosowanych przez firmę Google w zakresie danych statystycznych na temat liczby aplikacji ściągniętych ze sklepu Google Play, nie można z absolutną dokładnością wskazać całkowitej liczby potencjalnych ofiar. Na podstawie informacji posiadanych przez specjalistów z firmy Doctor Web można jednak stwierdzić, że prawdopodobna liczba poszkodowanych może wynosić ponad 5,3 miliona użytkowników.

INTERIA.PL/informacje prasowe
Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas