Do tej pory sposób infekcji użytkowników Androida za pomocą malware był dość prosty – aplikacja musiała od razu posiadać dodany złośliwy kod, który po uruchomieniu wykonywał pewne polecenia, przez co mógł np. kraść dane użytkowników. Okazuje się jednak, że jest to już przeszłość – dziś twórcy złośliwego oprogramowania korzystają z dużo bardziej zaawansowanych metod, a mianowicie w sklepie Google Play publikują pozornie nieszkodliwy program, który dopiero na urządzeniu użytkownika pobiera dodatkowe moduły ze złośliwym kodem. Nie inaczej było w tym przypadku i to właśnie z tego powodu gigant z Mountain View musiał usunąć 500 aplikacji ze swojego sklepu, nawet takich mających setki milionów instalacji. Okazuje się jednak, że deweloperzy tych programów nic nie wiedzieli o całym procederze.
Na czym polegał atak?
Wszystkie aplikacje, które zostały usunięte, były połączone z usługą Igexin, która pozwala na dużo prostszą implementację reklam oraz dostosowywanie ich do potrzeb użytkowników. Okazuje się jednak, że deweloperzy usuniętych aplikacji skorzystali z Igexina, którego serwer został przejęty przez twórców złośliwego oprogramowania, co poskutkowało tym, że cyberprzestępcy mogli na bieżąco aktualizować spyware, które trafiało na telefony użytkowników dzięki aplikacjom korzystającym z tej usługi. Na urządzenia osób korzystających z podatnych na atak programów trafiały różne wersje malware – najgroźniejsza z nich potrafiła nawet kraść nawet pełną historię rozmów, jak również lokalizację użytkownika, listę sieci Wi-Fi i dane na temat zainstalowanych aplikacji.
Jakie aplikacje były zarażone?
Niestety nie trafiły do nas dokładne nazwy zainfekowanych programów, lecz eksperci z firmy Lookout podali kilka ciekawych informacji na ich temat. Okazuje się, że spyware na telefony użytkowników trafiało z aplikacji takich jak:
- gry dla nastolatków (od 50 do 100 milionów pobrań),
- aplikacje pogodowe (od 1 do 5 milionów pobrań),
- radia internetowe (od 500 tysięcy do 1 miliona pobrań),
- edytory zdjęć (od 1 do 5 milionów pobrań),
- aplikacje edukacyjne, zdrowotne, do obsługi kamer wideo,
- klawiatury,
- aplikacje służące do planowania podróży.
Sytuacja ta była na tyle groźna, że Google zdecydowało się usunąć aż 500 aplikacji ze swojego sklepu, nawet tych, które w tym momencie nie instalowały złośliwego oprogramowania. Decyzja ta była spowodowana tym, że przejęcie kontroli nad serwerami, z których odbywa się zarządzanie aktualną wersją Igexina, jest na tyle proste, że gigant z Mountain View wolał nie ryzykować kolejnymi ofiarami. Z poziomu konsoli administratora cyberprzestępcy mogli instalować wtyczki w aplikacjach, nawet bez zgody deweloperów tych programów – Igexin był stworzony tak, że nie mieli oni nawet możliwości odrzucenia implementacji kolejnego złośliwego kodu. Na szczęście sytuacja została już opanowana, a wszystkie złośliwe aplikacje zostały również usunięte z urządzeń użytkowników.
Źródło: ArsTechnica