Google wykryło groźne malware w sklepie Play, aplikacje zostały już usunięte

mm Michał Derej Artykuły 2017-07-28

Złośliwe aplikacje na Androidzie to nic nowego, bo istniały od zawsze, a ich liczba z roku na rok wciąż się zwiększa. Na szczęście większości z nich nie można znaleźć w sklepie Google Play, a to wszystko dzięki licznym zabezpieczeniom giganta z Mountain View. Niestety, żaden system nie jest w stanie przefiltrować wszystkich niebezpieczeństw, które mogą czyhać na użytkowników Androida, więc raz na jakiś czas możemy usłyszeć o znalezieniu kolejnej złośliwej aplikacji w bazie sklepu – tym razem udało się to dzięki niedawno wprowadzonej funkcji Google Play Protect, która po raz pierwszy zaprezentowana została na wydarzeniu Google I/O 2017.

Jak informuje amerykańska firma – w sklepie Google Play odkryty został nowy typ malware służącego również za spyware, który otrzymał nazwę Lipizzan. Jak informuje Google, zagrożenie to jest w jakiś sposób powiązane z izraelską firmą zajmująca się tym segmentem rynku, która współpracuje m.in. z organizacjami rządowymi. Jak wynika z analizy malware, aplikacji udało się ominąć systemy zabezpieczeń sklepu Androida, dzięki nowemu sposobowi infekowania telefonów użytkowników, który składa się z dwóch etapów.

Pierwszy etap polegał na instalacji aplikacji twórców złośliwego oprogramowania na telefonach ofiar – odbywało się to za pomocą potencjalnie nieszkodliwie wyglądających aplikacji, których celem było m.in. oczyszczanie urządzenia i backup plików. To pozwalało programom na ominięcie zabezpieczeń sklepu Google Play. Drugi etap był znacznie bardziej skomplikowany – po instalacji aplikacja pobierała i uruchamiała dodatkowe pliki, które służyły do weryfikacji telefonu użytkownika według nieznanych jeszcze kryteriów. Jeśli wszystkie punkty zostały spełnione, to pobierane zostawały pliki służące do zrootowania smartfona za pomocą powszechnie znanych błędów w systemie i exploitów. Następnie dane użytkowników wysyłane były na zewnętrzne serwery.

Jakie były możliwości tego złośliwego oprogramowania? Okazuje się, że ogromne. Aplikacja mogła m.in. nagrywać połączenia telefoniczne, sprawdzać lokalizację użytkownika, korzystać z mikrofonu urządzenia, wykonywać zrzuty ekranu, robić zdjęcia i pobierać dane, które były zgromadzone na telefonie. Co ciekawe, Lipizzan mógł korzystać również z informacji dostępnych w wielu aplikacjach, takich jak np. Gmail, Skype, Telegram czy WhatsApp. Oto pełna lista „kompatybilnych” z malware programów:

  • Gmail
  • Hangouts
  • KakaoTalk
  • LinkedIn
  • Messenger
  • Skype
  • Snapchat
  • StockEmail
  • Telegram
  • Threema
  • Viber
  • WhatsApp

Po wykryciu zagrożenia, Google usunęło dodane przez cyberprzestępców programy. Po tym incydencie próbowali oni dodać zaktualizowaną wersję swojego malware (m.in. z inną nazwą i szyfrowanym drugim etapem), ale dzięki nauczaniu maszynowemu system był już obeznany z tematem i bezproblemowo zablokował wszystkie próby udostępnienia nowej wersji aplikacji. Na szczęście Lipizzan nie zainfekował wielu urządzeń – szacuje się, że było to wyłącznie około 100 smartfonów lub tabletów działających pod kontrolą Androida.

Źródło: Android Developers Blog



  • stark2991

    Coraz ciekawsze te wirusy tworzą 🙂

  • I pomyśleć, że Android jest taki bezpieczny 🙂

    • maxprzemo

      0.000007% potencjalnie zarażonych telefonów. Google już dawno wykryło i zneutralizowało szkodnika !?
      Gdzie te czasy jak pisaliście o milionach zagrożonych telefonach.
      Gdzie te czasy jak pisaliście o miliardzie zagrożonych „potencjalnie” telefonach.
      Straciliście na rozmachu 😉

      • Wodnik Szuwarek

        Brak aktualizacji = większa podatność na zagrożenia. Aktualizacje Play Services to pic na wodę fotomontaż. Nieodkryte malware w sklepie Google nadal czekają aż ktoś je pobierze.

        • maxprzemo

          „Brak aktualizacji = większa podatność na zagrożenia”
          A skąd pewność że nie mam najnowszej wersji androida z najnowszymi poprawkami zabezpieczeń?
          ” Nieodkryte malware w sklepie Google nadal czekają aż ktoś je pobierze.”
          No tak dziesiątki znajomych z telefonami na Androidzie i nikt nie miał wirusa.
          Jak to możliwe?
          Instaluję aplikacje z poza sklepu Play, mam Root’a w telefonie, nigdy nie miałem wirusa.
          Jak to możliwe?

        • maxprzemo

          Wypisz wymaluj reklama programu antywirusowego 🙂

          • Wodnik Szuwarek

            Usunałeś poprzedni komentarz, ale ci na niego odpiszę 🙂

            1. Możesz mieć, ale ponad 90% użytkowników Androida nie ma najnowszej wersji.
            2. A skąd wiesz, że nie mają wirusa? Przecież wirus nie krzyczy „Hej jestem wirusem i zaraziłem twój telefon”. Tak jest tylko na filmach.

          • maxprzemo

            Nie usunąłem tylko dodałem zdjęcie a taki post musi być zaakceptowany przez moderatora czyli pewnie za kilka godzin znając ten portal.

            Wirus na Androidzie to bajeczka producentów programów antywirusowych. Tworzenie atmosfery strachu i ciągłego zagrożenia. A na końcu przychodzi zbawiciel Avast lub inny Kaspersky i już jesteśmy bezpieczni.

          • Wodnik Szuwarek

            Komentarz został usunięty. Akurat na niego odpisywałem i w momencie odpowiedzi dostałem taką informację zwrotną. Gdybyś zmienił treść komentarza, ale go nie usuwał, to nie otrzymałbym takiego komunikatu.

            A wiesz, że użytkownicy Windowsa mówią dokładnie to samo? Tam też nie ma zagrożeń i nikt nigdy nie złapał wirusa 🙂

          • maxprzemo

            „Gdybyś zmienił treść komentarza, ale go nie usuwał, to nie otrzymałbym takiego komunikatu.”
            Co za problem masz. Dodaj jakiś link do swojego komentarza na tym portalu a się przekonasz.

            „A wiesz, że użytkownicy Windowsa mówią dokładnie to samo?”
            A wiesz że użytkownicy iOS mówią tak samo?

          • Wodnik Szuwarek

            Tam nie było linka bo komentarz się wyświetlił.

            Jest malware na applowskie systemy i kolega kiedyś jakieś dziadostwo zainstalował na macOS, ale to jest nic w porównaniu z Windowsem i Androidem. Na tych systemach to norma.

          • stark2991

            Jeśli ktoś usunie komentarz to zostaje taka informacja w jego miejscu, a ja tu takiej nie widzę.

          • Wodnik Szuwarek

            Tak jest w przypadku gdy ktoś już odpisze na ten komentarz. W momencie publikacji mojego była informacja, że autor usunął swój komentarz. Mając ponad 20 tys. komentarzy powinieneś wiedzieć jak działa Disqus bo w internecie to ty chyba spędzasz większość swojego życia 🙂

          • stark2991

            Przez 20 tysięcy komentarzy nie spotkałem się z taką sytuacją 🙂
            Natomiast komunikat o usunięciu jest logiczny – po dodaniu linka „stara wersja” komentarza jest usuwana, a nowa wędruje do moderacji – może dlatego tak pokazuje. Powtarzam, że gdybyś teraz usunął swój poprzedni komentarz, to została by w jego miejscu informacja od Disqusa (this comment has been deleted albo coś podobnego)

          • Rincewind

            Dyskutujesz z kimś wg kogo iPhone to sprzęt dla nadludzi a resztę mają podludzie.

    • cherrz

      Po co te prowo?

      • mapa

        +1

      • Rincewind

        Bo on lubi z siebie ofiarę robić jak ktoś podchwyci. Buduje sobie tym ego czy coś…

    • Wodnik Szuwarek

      Najlepsze jest to, że firma słynąca z bezpieczeństwa, czyli BlackBerry, non stop łata ten dziurawy pseudo system we własnym zakresie.

      • Rincewind

        Szkoda, że twoja matka nie łatała dziur w twoim wychowaniu panie „niepełnosprawni to nieudacznicy”.

        • Wodnik Szuwarek

          Nie mam nic do niepełnosprawnych, ale ty jesteś przypadkiem klinicznym niepełnosprawności umysłowej.

          • Rincewind

            Skoro nie masz to po cholerę takie coś napisałeś kiedy ktoś wspomniał o tym, że jego niepełnosprawny kolega ma iPhone? Bo jesteś prostakiem.

    • Rincewind

      100 urządzeń na kilka miliardów. Faktycznie, idę swój smartfon do ołowianego kontenera wrzucić a kontener wrzucę do wulkanu i zaleje betonem….

    • Chyba się już zapomniało jak wystarczyło włączyć głupi filmik lub wysłać prostego SMS-ika, by zwiesić iPhone’a lub zablokować iMessage 😉

    • Chyba się już zapomniało jak wystarczyło włączyć głupi filmik lub wysłać prostego SMS-ika, by zwiesić iPhone’a lub zablokować iMessage 😉

      Mało tego, polecam poczytać: https://niebezpiecznik*pl/post/uwaga-posiadacze-iphonow-i-macbookow/ (zamienić „*” na „.”).

  • Filodendron

    zostały już usuniętę

    Autorze, nie istnieje słowo „usniętę”! Co to za maniera, żeby na siłę dopisywać ogonki do liter w słowach, które ich nie wymagają, a tym bardziej tworzyć takie, które nie istnieją?!

    Złośliwe aplikacje na Androidzie (…) ich ilość (…) wciąż się zwiększa.

    Liczba, a nie ilość. Ich liczba się zwiększa.

    giganta z Mountain View

    Trochę przesada, żeby w dwóch niedługich akapitach, użyć tego określenia 3×. Skoro mowa w zasadzie tylko o Google, to jako synonimu można użyć chociażby słowa „firma”, że o wielu innych nie wspomnę.

    • Michał Derej

      Pierwszy błąd to jest literówka. Uwierz, pisząc po kilka takich tekstów dziennie możesz przez przypadek kliknąć inny klawisz niż trzeba.

      Co do drugiej uwagi to rzeczywiście, masz rację. Wkrótce zaktualizuję artykuł.

      Bardzo ciężko jest znaleźć synonim na własnej – z tego powodu używam słów takich jak Google, gigant z Mountain View i firma/korporacja.