Złośliwe aplikacje na Androidzie to nic nowego, bo istniały od zawsze, a ich liczba z roku na rok wciąż się zwiększa. Na szczęście większości z nich nie można znaleźć w sklepie Google Play, a to wszystko dzięki licznym zabezpieczeniom giganta z Mountain View. Niestety, żaden system nie jest w stanie przefiltrować wszystkich niebezpieczeństw, które mogą czyhać na użytkowników Androida, więc raz na jakiś czas możemy usłyszeć o znalezieniu kolejnej złośliwej aplikacji w bazie sklepu – tym razem udało się to dzięki niedawno wprowadzonej funkcji Google Play Protect, która po raz pierwszy zaprezentowana została na wydarzeniu Google I/O 2017.

Jak informuje amerykańska firma – w sklepie Google Play odkryty został nowy typ malware służącego również za spyware, który otrzymał nazwę Lipizzan. Jak informuje Google, zagrożenie to jest w jakiś sposób powiązane z izraelską firmą zajmująca się tym segmentem rynku, która współpracuje m.in. z organizacjami rządowymi. Jak wynika z analizy malware, aplikacji udało się ominąć systemy zabezpieczeń sklepu Androida, dzięki nowemu sposobowi infekowania telefonów użytkowników, który składa się z dwóch etapów.

Pierwszy etap polegał na instalacji aplikacji twórców złośliwego oprogramowania na telefonach ofiar – odbywało się to za pomocą potencjalnie nieszkodliwie wyglądających aplikacji, których celem było m.in. oczyszczanie urządzenia i backup plików. To pozwalało programom na ominięcie zabezpieczeń sklepu Google Play. Drugi etap był znacznie bardziej skomplikowany – po instalacji aplikacja pobierała i uruchamiała dodatkowe pliki, które służyły do weryfikacji telefonu użytkownika według nieznanych jeszcze kryteriów. Jeśli wszystkie punkty zostały spełnione, to pobierane zostawały pliki służące do zrootowania smartfona za pomocą powszechnie znanych błędów w systemie i exploitów. Następnie dane użytkowników wysyłane były na zewnętrzne serwery.

Jakie były możliwości tego złośliwego oprogramowania? Okazuje się, że ogromne. Aplikacja mogła m.in. nagrywać połączenia telefoniczne, sprawdzać lokalizację użytkownika, korzystać z mikrofonu urządzenia, wykonywać zrzuty ekranu, robić zdjęcia i pobierać dane, które były zgromadzone na telefonie. Co ciekawe, Lipizzan mógł korzystać również z informacji dostępnych w wielu aplikacjach, takich jak np. Gmail, Skype, Telegram czy WhatsApp. Oto pełna lista „kompatybilnych” z malware programów:

  • Gmail
  • Hangouts
  • KakaoTalk
  • LinkedIn
  • Messenger
  • Skype
  • Snapchat
  • StockEmail
  • Telegram
  • Threema
  • Viber
  • WhatsApp

Po wykryciu zagrożenia, Google usunęło dodane przez cyberprzestępców programy. Po tym incydencie próbowali oni dodać zaktualizowaną wersję swojego malware (m.in. z inną nazwą i szyfrowanym drugim etapem), ale dzięki nauczaniu maszynowemu system był już obeznany z tematem i bezproblemowo zablokował wszystkie próby udostępnienia nowej wersji aplikacji. Na szczęście Lipizzan nie zainfekował wielu urządzeń – szacuje się, że było to wyłącznie około 100 smartfonów lub tabletów działających pod kontrolą Androida.

 

Źródło: Android Developers Blog

 

 

Google News
Obserwuj ANDROID.COM.PL w Google News i bądź zawsze na bieżąco!
Obserwuj

Michał Derej

Pasjonat technologii mobilnych, wielki fan Androida. Student informatyki na Wydziale Matematyki i Nauk Informacyjnych Politechniki Warszawskiej. Były moderator jednego z największych forów ogólnotematycznych w Polsce. Od kilku lat blogger.