Ofiarą cyberprzestępców padło prawdopodobnie ok. 5,3 miliona klientów oficjalnego sklepów Google'a.
W Google Play odnaleziono 28 aplikacji zawierających szkodliwy moduł reklamowy, który ma możliwość infekowania trojanami urządzeń pracujących na systemie Android - wynika z informacji firmy Doctor Web, rosyjskiego producenta programów antywirusowych.
Łączna liczba instalacji tych aplikacji, a w rezultacie także potencjalnie zainfekowanych urządzeń, sięga obecnie kilku milionów. Od czasu wprowadzenia systemu antywirusowego Google Bouncer, jest to najpoważniejszy i najbardziej masowy przypadek zainfekowania systemu Android złośliwymi aplikacjami, które znajdują się w sklepie Google Play.
Reklamy wyświetlane w sklepie internetowym Google Play od dawna wykorzystywane były przez hakerów do rozsyłania szkodliwego oprogramowania, w tym do rozpowszechniania trojanów. Do tej pory najbardziej popularnymi wśród nich były trojany z rodziny Android.SmsSend, przeznaczone do wysyłania SMS-ów Premium i dokonywania w imieniu użytkowników subskrypcji na usługi zawierające płatne treści. Skuteczność tej metody zadecydowała o ponownym posłużeniu się nią przez internetowych oszustów.
Tym razem cyberprzestępcy postanowili pójść o krok dalej i utworzyli własną platformę reklamową dedykowaną urządzeniom mobilnym z systemem Android, podobną do Google AdMob, Airpush czy Startapp. Na pierwszy rzut oka nie różni się ona niczym od pozostałych działających na rynku: oferuje twórcom oprogramowania wyjątkowo atrakcyjne warunki, na których mogą oni tworzyć aplikacje reklamowe korzystając z udostępnianego API, obiecuje wysoki i stabilny dochód, a także wygodę zarządzania i kontroli napływających środków pieniężnych.
Tak jak w wielu innych rodzajach oprogramowania typu Adware, reklamy wyświetlane są w pasku powiadomień poprzez wykorzystanie metody „push”. Oprócz tego, platforma ta zawiera także szereg innych, ukrytych możliwości.
Jedną z nich jest wyświetlanie powiadomienia o konieczności aktualizacji konkretnej aplikacji. W sytuacji, gdy użytkownik się na to zgodzi, pobierany jest plik .apk (format używany do dystrybucji oprogramowania na platformie Android), który zostaje umieszczony na karcie pamięci w katalogu /mnt/sdcard/download. Zawarty w nim szkodliwy kod może także utworzyć na głównym ekranie telefonu skrót do pobranego pliku. Jeżeli użytkownik kliknie w jego ikonę, zostanie uruchomiony proces instalacji odpowiadającego mu, złośliwego oprogramowania.
Przeprowadzone przez specjalistów z firmy Doctor Web badanie wykazało, że zainstalowane w ten sposób aplikacje to w rzeczywistości trojany z rodziny Android.SmsSend. Zidentyfikowane adresy serwerów zarządzających już kilka dni temu zostały włączone do modułu Kontroli rodzicielskiej antywirusa Doctor Web, w wyniku czego próby połączenia z nimi są natychmiast blokowane.
Poniżej przedstawiamy pełną listę komend, które może przyjmować i wykonywać platforma reklamowa zawierająca szkodliwe oprogramowanie:
- news – wyświetlenie powiadomienia „push”
- showpage – otworzenie strony internetowej w przeglądarce
- install – pobranie i zainstalowanie pliku .apk
- showinstall – wyświetlenie powiadomienia „push” umożliwiającego instalację pliku .apk
- iconpage – utworzenie skrótu do strony internetowej
- iconinstall – utworzenie skrótu do pliku .apk
- newdomen – zmiana adresu serwera zarządzającego
- seconddomen – alternatywny adres serwera zarządzającego
- stop – zakończenie komunikacji z serwerem
- testpost – powtórne wysłanie komendy
Oprócz wykonywania powyższych komend, fałszywa platforma ma także możliwość pobierania i wysyłania na serwer zarządzający następujących danych: numeru IMEI urządzenia mobilnego, kodu operatora i numeru IMSI danej karty SIM.
Największym zagrożeniem jest fakt, że aplikacje, które zawierały to złośliwe oprogramowanie, były umieszczone w oficjalnym sklepie Google Play, który uważany jest za najbezpieczniejszy element systemu Android. Ponieważ wielu użytkowników ufa, że Google Play jest w pełni bezpieczne, liczba instalacji aplikacji zainfekowanych niebezpiecznym modułem reklamowym jest bardzo duża. Z powodu ograniczeń stosowanych przez firmę Google w zakresie danych statystycznych na temat liczby aplikacji ściągniętych ze sklepu Google Play, nie można z absolutną dokładnością wskazać całkowitej liczby potencjalnych ofiar. Na podstawie informacji posiadanych przez specjalistów z firmy Doctor Web można jednak stwierdzić, że prawdopodobna liczba poszkodowanych może wynosić ponad 5,3 miliona użytkowników.
Specjaliści z Doctor Web zakwalifikowali dany moduł do kategorii adware jako Android.Androways.1.origin. Został on wpisany do baz antywirusowych i nie stanowi zagrożenia dla użytkowników oprogramowania antywirusowego Dr.Web dla systemu Android.
Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"
Zaloguj się, a jeśli nie masz jeszcze konta w Interaktywnie.com - możesz się zarejestrować albo zalogować przez Facebooka.
W 1999 roku stworzyliśmy jedną z pierwszych firm hostingowych w Polsce. Od tego czasu …
Zobacz profil w katalogu firm
»
Pozycjonujemy się jako alternatywa dla agencji sieciowych, oferując konkurencyjną jakość, niższe koszty i większą …
Zobacz profil w katalogu firm
»
Projektujemy i wdrażamy strony internetowe - m.in. sklepy, landing page, firmowe. Świadczymy usługi związane …
Zobacz profil w katalogu firm
»
1stplace.pl to profesjonalna agencja SEO/SEM, specjalizująca się w szeroko pojętym marketingu internetowym. Firma oferuje …
Zobacz profil w katalogu firm
»
Pomagamy markom odnosić sukces w Internecie. Specjalizujemy się w pozycjonowaniu stron, performance marketingu, social …
Zobacz profil w katalogu firm
»