Android jest bezpiecznym systemem, który swoim użytkownikom daje jednak możliwość wyboru – dla przykładu mogą oni decydować o tym, czy zainstalować daną aplikację spoza sklepu Google Play, który przedstawiany jest jako bezpieczny (wszystkie najważniejsze informacje na temat bezpieczeństwa i aktualnych zagrożeń znajdziecie pod tym tagiem). Niestety okazuje się, że nie zawsze tak jest – eksperci zajmujący się bezpieczeństwem w sieci z Sophosa odkryli niedawno złośliwe malware, które ukrywało się w popularnych aplikacjach służących do skanowania kodów QR, które pobrać można było z oficjalnego sklepu z aplikacjami od Google’a.
Zobacz też: Malware podszywa się pod infolinię banku!
W jakich aplikacjach ukrywał się złośliwy kod?
Malware, które przez ekspertów z Sophosa nazwane zostało jako Andr/HiddnAd-AJ znaleźć można było w czterech popularnych aplikacjach, które dostępne były do pobrania w sklepie Google Play. Nazwy złośliwych programów zostały przedstawione na poniższej grafice. Warto pamiętać, że przez użytkowników Androida złośliwe oprogramowanie pobrane zostało ponad pół miliona razy.
Jak można zauważyć, cyberprzestępcy celowali głównie w zwyczajnych użytkowników systemu Android, którzy poszukiwali narzędzia do skanowania wszechobecnych kodów QR lub… kompasu. Wszystkie wymienione powyżej programy zostały już usunięte ze sklepu Google Play, a ich kopie na urządzeniach zostały odinstalowane. Warto jednak pamiętać, że pliki .apk tych aplikacji dalej rozpowszechniane mogą być za pomocą innych źródeł, np. portali do wymiany plikami.
Jaka była zasada działania złośliwego oprogramowania?
W tym przypadku cyberprzestępcy nie kradli danych do kont bankowych, lecz zdecydowali się na prosty, ale efektywny krok – użytkownikowi smartfona wyświetlanych było mnóstwo reklam. Metoda ta pozwala dorobić się niezłej sumy pieniędzy w krótkim okresie (w poprzednim artykule pisaliśmy na temat programu, który dla swoich twórców zarabiał około 10 tysięcy dolarów dziennie), a dodatkowo nie jest trudna w implementacji – wystarczy stworzyć moduł, który co pewien czas wyświetlać będzie materiał promocyjny w wyskakującym oknie. Co ciekawe, twórcy aplikacji zadbali, by użytkownicy nie nabrali podejrzeń wobec ich narzędzi – moduł odpowiedzialny za wyświetlanie reklam aktywował się dopiero 6 godzin po instalacji, więc osoby mniej obeznane z technologią mogły nie domyślić się, że przyczyną ich problemów jest skaner kodów QR.
Co robić, jak żyć?
Na całe szczęście zagrożenie zostało już usunięte ze sklepu Google Play, lecz jeśli niedawno pobieraliście skanery kodów QR lub kompas, to sprawdźcie, czy na pewno nie zainstalowaliście jednej z wymienionych powyżej aplikacji. Podczas instalowania programów warto monitorować uprawnienia, o jakie proszą niektóre narzędzia – jeśli wydają się one podejrzane, to lepiej nie instalować danej aplikacji i zdecydować się na kolejną pozycję, dla własnego bezpieczeństwa. Zachowajcie ostrożność!
Źródło: Sophos