Złośliwe aplikacje w Sklepie Play. Oto lista 42 takich programów

Eksperci z ESET, korzystając z informacji zamieszczonych w kodzie źródłowym aplikacji, dotarli do danych programisty odpowiedzialnego za ich stworzenie.

Eksperci z ESET odkryli aż 42 aplikacje w Sklepie Play, które w irytujący sposób wyświetlały reklamy swoim użytkownikom. Programy można było pobrać przez ponad rok. Przez ten czas zostały one zainstalowane ponad 8 milionów razy, w tym również przez Polaków. Specjalistom udało się wytropić twórcę kampanii, którym okazał się student Uniwersytetu w Hanoi. 

Lukas Stefanko, malware researcher z ESET specjalizujący się w analizie zagrożeń mobilnych, zidentyfikował kampanię złośliwych aplikacji w Sklepie Play, które były dostępne dla użytkowników od lipca 2018 roku do połowy października 2019. Wspomniane programy służyły m.in. do pobierania wideo z YouTube, zapisywania treści z Instagramu, czy słuchania radia. Po uruchomieniu złośliwe aplikacje wysyłają na serwer informacje o urządzeniu, na którym zostały zainstalowane, w tym wersję systemu operacyjnego, wolne miejsce w pamięci telefonu, stan baterii oraz weryfikują czy posiada on zainstalowanego Facebooka i Messengera. Na podstawie tych informacji aplikacje dostosowują sposób wyświetlania użytkownikowi niechcianych reklam oraz zabezpiecza się przed dezinstalacją.

Dla przykładu, aplikacja jest w stanie ukryć na ekranie swoją ikonę i wyświetlać użytkownikowi tylko skrót do aplikacji. Jeśli użytkownik będzie próbował usunąć program, usunie tylko widoczną ikonę skrótu. To nie jedyny fortel stosowany przez wspomniane programy. Generowane przez nie reklamy wyświetlają się w trybie pełnoekranowym i jeśli użytkownik wyświetli listę uruchomionych aplikacji, to zobaczy jedynie aktywne aplikacje Facebooka lub Google, pod które aplikacja potrafi się podszywać.

Złośliwe aplikacje wykryte przez ESET

Polowanie na twórcę złośliwych aplikacji

Eksperci z ESET, korzystając z informacji zamieszczonych w kodzie źródłowym aplikacji, dotarli do danych programisty odpowiedzialnego za ich stworzenie. Weryfikując dane osoby rejestrującej domenę, kraj oraz adres e-mail, zidentyfikowali listę studentów Uniwersytetu w Hanoi, w Wietnamie. Okazało się, że dokument w Excelu zawierał numer telefonu programisty oraz jego identyfikator z uczelni, który pozwolił analitykom z ESET poznać nawet oceny cyberprzestępcy. Na tym etapie eksperci już mieli niemal pewność co do tożsamości twórcy aplikacji. 

Kanał na YouTube oraz profil na Facebooku

Dalsze dochodzenie potwierdziło przypuszczenia - specjaliści dotarli do repozytorium programisty na Githubie, jego kanału na YouTube (jeden z jego filmików ma prawie 3 miliony wyświetleń) oraz profilu na Facebooku. Dzięki tym informacjom mogli powiązać aktywność studenta z innymi złośliwymi aplikacjami generującymi reklamy. 

Jak informuje Lukas Stefanko z ESET, ukrywanie niechcianych lub szkodliwych funkcji w aplikacjach jest powszechną praktyką wśród „złych” programistów.

- Jesteśmy zobowiązani do śledzenia takich aplikacji. Zgłaszamy je Google i podejmujemy inne kroki w celu ukrócenia wykrytych złośliwych kampanii - mówi Lukas Stefanko. 

Tak było w przypadku opisanej kampanii. Wszystkie wykryte złośliwe programy zostały zgłoszone Sklepowi Play, a następnie z niego usunięte. Należy pamiętać, że od momentu udostępnienia złośliwych aplikacji w Google Play do chwili zidentyfikowania ich złośliwej działalności mija czasami (jak w opisywanym wypadku) nawet kilkanaście miesięcy. Z tego powodu warto rozważyć zabezpieczenie swojego smartfona antywirusem. 

Pobierz ebook "Jak wybrać software house i przeskalować swój biznes [ebook z raportem]"