Google usunęło 36 szkodliwych aplikacji z oficjalnego sklepu

Najczęstszą przyczyną infekcji urządzenia mobilnego jest pobranie i zainstalowanie szkodliwej aplikacji przez użytkownika. Oczywiście w danym momencie nie jest on świadom, że program jest niebezpieczny, bo zazwyczaj dobrze się maskuje – do czasu. Niestety zdarza się, że złośliwy program dostanie się do oficjalnego sklepu z aplikacjami dla Androida, Google Play…

Całkiem niedawno, bo w grudniu 2017, firma antywirusowa Trend Micro[1] znalazła podejrzane aplikacje w sklepie Google. Jak donoszą badacze, ich nazwy skojarzone były z różnego rodzaju narzędziami np. Security Defender, Advanced Boost czy Smart Security. Z ich opisu wynikało, że są to pożyteczne dodatki do smartfona pozwalające zaoszczędzić baterię, zwiększyć poziom bezpieczeństwa czy oczyścić telefon ze zbędnych plików.

Niestety poza tymi drobnymi czynnościami, programy dodatkowo zbierały informacje o użytkowniku, potajemnie określały jego lokalizację, śledziły go oraz wyświetlały agresywne reklamy innych usług.

Źródło: http://blog.trendmicro.com/trendlabs-security-intelligence/apps-disguised-security-tools-bombard-users-ads-track-users-location/
Źródło: http://blog.trendmicro.com/trendlabs-security-intelligence/apps-disguised-security-tools-bombard-users-ads-track-users-location/

Firma poinformowała Google o odkryciu i w tym momencie szkodliwe programy nie są już dostępne do pobrania. W przygotowanym raporcie, Trend Micro podaje również techniczne szczegóły kodu.

Źródło: http://blog.trendmicro.com/trendlabs-security-intelligence/apps-disguised-security-tools-bombard-users-ads-track-users-location/
Źródło: http://blog.trendmicro.com/trendlabs-security-intelligence/apps-disguised-security-tools-bombard-users-ads-track-users-location/

Powyższy fragment pokazuje, że po zainstalowaniu aplikacja nie wyświetla się na liście zainstalowanych programów, a ikony są ukryte i niewidoczne dla użytkownika (hide_icon). Z tego powodu jedyna interakcja użytkownika z aplikacją pojawia się w momencie, kiedy ta zaczyna wysyłać notyfikacje z ostrzeżeniami np. o stanie bezpieczeństwa.

Źródło: http://blog.trendmicro.com/trendlabs-security-intelligence/apps-disguised-security-tools-bombard-users-ads-track-users-location/
Źródło: http://blog.trendmicro.com/trendlabs-security-intelligence/apps-disguised-security-tools-bombard-users-ads-track-users-location/

Kolejny fragment kodu pokazuje natomiast, że ukrywanie się aplikacji nie jest zarezerwowane dla wszystkich urządzeń. Wyłączone z tego są Google Nexus 6P, Xiaomi MI 4LTE, ZTEN958St i LG H525n. Nie do końca jest jasne, dlaczego te modele nie zostały uwzględnione, ale badacze sugerują, że być może twórcy wiedzieli, że aplikacja nie zadziała na wspomnianych modelach.

Tak jak zostało to wspomniane wcześniej – po uruchomieniu, użytkownik jest zalewany informacjami np. (o ironio) o szkodliwym oprogramowaniu znalezionym na telefonie. Większość z widocznych poniżej powiadomień jest fałszywa.

Źródło: http://blog.trendmicro.com/trendlabs-security-intelligence/apps-disguised-security-tools-bombard-users-ads-track-users-location/
Źródło: http://blog.trendmicro.com/trendlabs-security-intelligence/apps-disguised-security-tools-bombard-users-ads-track-users-location/

Pamiętaj, by zawsze pobierać aplikacje z zaufanych źródeł. Sprawdzaj czy jest ona popularna i jakie ma opinie i oceny (użytkownicy często sami komentują, że program jest potencjalnie złośliwy). Nie nadawaj aplikacji więcej uprawnień, niż faktycznie tego wymaga. Program do rysowania raczej nie potrzebuje dostępu do wszystkich serwisów i usług (SMS) telefonu. Regularnie aktualizuj system i programy. Warto również pomyśleć nad zainstalowaniem aplikacji zabezpieczającej urządzenie mobilne.

[1] http://blog.trendmicro.com/trendlabs-security-intelligence/apps-disguised-security-tools-bombard-users-ads-track-users-location/