Adware w Sklepie Play

Kolejne malware znalezione w Google Play – tym razem mogło nagrywać dźwięk

3 minuty czytania
Komentarze

Malware, który przystosowane jest do ataków na użytkowników Androida, wciąż nie przestaje nas zaskakiwać. Jakiś czas temu informowałem was już na temat złośliwego kodu, który przedostał się do Google Play i tym razem przyszła pora na kolejną dawkę malware, które można było znaleźć w sklepie internetowego giganta – jak informują nas eksperci zajmujący się bezpieczeństwem w sieci z firmy Lookout, kilka dni temu odkryte zostało ponad 4000 złośliwych aplikacji z rodziny SonicSpy, z czego co najmniej trzy znalazły się w bazie Google Play. Na szczęście sytuacja została już opanowana przez Google’a.

Aplikacje z rodziny SonicSpy rozprzestrzeniały się w Internecie w różnych źródłach – można było znaleźć je m.in. w Google Play, w innych sklepach z aplikacjami, na podejrzanych stronach internetowych, a informacje na ich temat były również rozsyłane poprzez SMS-y z linkiem do pobrania programu. Pierwszą aplikacją z zaimplementowanym złośliwym kodem, którą można było znaleźć (została usunięta po interwencji Lookout) w sklepie Google’a był Soniac – komunikator, który pozwalał na wysyłanie wiadomości za pomocą niestandardowej wersji programu Telegram. W najgorszym wypadku aplikację tą mogło pobrać nawet 5000 osób – po instalacji podszywała się ona pod zwyczajny komunikator i miała dostęp do nagrywania dźwięku, wykonywania połączeń telefonicznych i ich odbierania oraz wysyłania wiadomości SMS. Oprogramowanie mogło także wysyłać na zewnętrzne serwery logi urządzenia, zgromadzone kontakty i informacje na temat sieci Wi-Fi. Jak już wcześniej wspomniałem, istniały jeszcze co najmniej dwie aplikacje, które działały na tej samej zasadzie. Aktualnie znamy nazwy dwóch z nich – były to Hulk Messenger oraz Troy Chat i również zostały one już usunięte z bazy sklepu Google Play.

Po instalacji na urządzeniu większość złośliwych aplikacji usuwała swoją ikonę z szufladki z aplikacjami po to, by użytkownik smartfona zapomniał o ich istnieniu. W tym czasie łączyła się z serwerem, który służył do wydawania komend programowi – jest to port 2222 adresu hxxp://www.arshad93.ddns[.]net (pamiętajcie, by nie zaglądać na tę stronę – to może być groźne). Po uzyskaniu połączenia malware oczekiwało na jedną z 73 dostępnych komend, których mogli użyć cyberprzestępcy. Proces ten jest identyczny dla całej rodziny SonicSpy, więc dzięki temu łatwo można rozpoznać aplikacje pochodne. Co ciekawe, malware z rodziny SonicSpy może być powiązane ze znanym już zagrożeniem o nazwie SpyNote, o której firma Palo Alto Networks informowała już w tym roku. Dodatkowo twórca aplikacji prawdopodobnie pochodzi z Iraku – świadczy o tym m.in. nazwa konta dewelopera (iraqwebservice) oraz liczne wzmianki w kodzie, które wskazują właśnie na tę część świata.

Jak chronić się przed zagrożeniami tego typu? Przede wszystkim uważajcie na aplikacje instalowane z nieznanych źródeł – jeśli wydają się wam w jakikolwiek sposób podejrzane, to lepiej odpuścić, lub uruchomić je w trybie sandbox z wydzielonym odrębnym miejscem. Co więcej, przeglądajcie uprawnienia programów, które pobieracie na swoje urządzenie – dobry deweloper aplikacji zawsze wyjaśni powód dodania ich do swojego dzieła.

Źródło: Ars Technica

Motyw