android malware anubis

Nowy spyware zmusił Google do usunięcia 500 aplikacji ze sklepu

Artykuły

Do tej pory sposób infekcji użytkowników Androida za pomocą malware był dość prosty – aplikacja musiała od razu posiadać dodany złośliwy kod, który po uruchomieniu wykonywał pewne polecenia, przez co mógł np. kraść dane użytkowników. Okazuje się jednak, że jest to już przeszłość – dziś twórcy złośliwego oprogramowania korzystają z dużo bardziej zaawansowanych metod, a mianowicie w sklepie Google Play publikują pozornie nieszkodliwy program, który dopiero na urządzeniu użytkownika pobiera dodatkowe moduły ze złośliwym kodem. Nie inaczej było w tym przypadku i to właśnie z tego powodu gigant z Mountain View musiał usunąć 500 aplikacji ze swojego sklepu, nawet takich mających setki milionów instalacji. Okazuje się jednak, że deweloperzy tych programów nic nie wiedzieli o całym procederze.

Na czym polegał atak?

Wszystkie aplikacje, które zostały usunięte, były połączone z usługą Igexin, która pozwala na dużo prostszą implementację reklam oraz dostosowywanie ich do potrzeb użytkowników. Okazuje się jednak, że deweloperzy usuniętych aplikacji skorzystali z Igexina, którego serwer został przejęty przez twórców złośliwego oprogramowania, co poskutkowało tym, że cyberprzestępcy mogli na bieżąco aktualizować spyware, które trafiało na telefony użytkowników dzięki aplikacjom korzystającym z tej usługi. Na urządzenia osób korzystających z podatnych na atak programów trafiały różne wersje malware – najgroźniejsza z nich potrafiła nawet kraść nawet pełną historię rozmów, jak również lokalizację użytkownika, listę sieci Wi-Fi i dane na temat zainstalowanych aplikacji.

Nie przegap
AppGallery zamiast Sklepu Play – jak wygląda użytkowanie na co dzień?
huawei appgallery sklep play zastepstwo
Huawei Mobile Services to zbiór wielu usług od firmy z Państwa Środka, które mają odmienić czystego Androida. Wśród dostępnych dodatków jednym z podstawowych jest tytułowe AppGallery, a więc sklep Huawei z grami i aplikacjami. Naturalnie jest to odpowiednik Sklepu Play, bez którego wiele osób nie widzi sensu korzystania z Robocika. Oczywiście jest to zbyt daleko […]

Jakie aplikacje były zarażone?

Niestety nie trafiły do nas dokładne nazwy zainfekowanych programów, lecz eksperci z firmy Lookout podali kilka ciekawych informacji na ich temat. Okazuje się, że spyware na telefony użytkowników trafiało z aplikacji takich jak:

  • gry dla nastolatków (od 50 do 100 milionów pobrań),
  • aplikacje pogodowe (od 1 do 5 milionów pobrań),
  • radia internetowe (od 500 tysięcy do 1 miliona pobrań),
  • edytory zdjęć (od 1 do 5 milionów pobrań),
  • aplikacje edukacyjne, zdrowotne, do obsługi kamer wideo,
  • klawiatury,
  • aplikacje służące do planowania podróży.

Sytuacja ta była na tyle groźna, że Google zdecydowało się usunąć aż 500 aplikacji ze swojego sklepu, nawet tych, które w tym momencie nie instalowały złośliwego oprogramowania. Decyzja ta była spowodowana tym, że przejęcie kontroli nad serwerami, z których odbywa się zarządzanie aktualną wersją Igexina, jest na tyle proste, że gigant z Mountain View wolał nie ryzykować kolejnymi ofiarami. Z poziomu konsoli administratora cyberprzestępcy mogli instalować wtyczki w aplikacjach, nawet bez zgody deweloperów tych programów – Igexin był stworzony tak, że nie mieli oni nawet możliwości odrzucenia implementacji kolejnego złośliwego kodu. Na szczęście sytuacja została już opanowana, a wszystkie złośliwe aplikacje zostały również usunięte z urządzeń użytkowników.

Źródło: ArsTechnica

 






Przewiń stronę, by przeczytać kolejny wpis
x