14.3.2019 13:38 | Bezpečnosť

Z Google Play odstránili 210 záškodníckych aplikácií. Nainštalovalo si ich vyše 150 miliónov ľudí

Google predplatné nepotvrdil.

Infiltrácia bola nájdená v hrách, ako aj v rozličných nástrojoch.

V oficiálnom internetovom obchode Google Play boli odhalené stovky aplikácií, ktoré obsahovali škodlivý kód. Jeho hlavným účelom bolo zobrazovanie nevyžiadaných reklám, no mohol zobrazovať aj phishingové stránky či inštalovať ďalšie záškodnícke aplikácie.

Bližšie informácie o hrozbe zverejnil portál Engadget.

Problémy spôsobila pochybná SDK knižnica

Škodlivý kód označený názvom „SimBad“ sa nachádzal v 210 aplikáciách, ktoré si celkovo nainštalovalo viac ako 150 miliónov nič netušiacich používateľov. Vo väčšine prípadov išlo o hry, respektíve o simulátory. Nachádzal sa však aj v editore fotografií, v aplikáciách ponúkajúcich živé tapety a v mnohých ďalších nástrojoch.

Počet inštalácií hry Snow Heavy Excavator Simulator. fotogaléria / 4
Počet inštalácií hry Snow Heavy Excavator Simulator. Zdroj: Bleeping Computer

Za zmienku stojí napríklad hra Snow Heavy Excavator Simulator, ktorá dosiahla viac ako 10 miliónov stiahnutí. Ďalšie hry, akými je Ambulance Rescue Driving, Fire Truck Emergency Driver, Speed Boat Jet Ski Racing, Hoverboard Racing, Real Tractor Farming Simulator či Car Parking Challenge mali viac ako 5 miliónov inštalácií. Kompletný zoznam infikovaných aplikácií nájdete na tomto odkaze.

Všetky odhalené aplikácie využívali pochybnú SDK (Software Development Kit) knižnicu s názvom „RXDrioder“. V súčasnosti ale nie je známe, či vývojári úmyselne využili túto SDK knižnicu, alebo boli uvedení do omylu a o jej záškodníckej činnosti netušili.

Aplikácie obsahovali tri záškodnícke funkcie

Po nainštalovaní infikovanej aplikácie si škodlivý kód zabezpečil automatické spúšťanie pri štarte operačného systému. Následne odstránil svoju ikonu z hlavného menu telefónu (z launcheru) a pripojil sa na riadiaci server, kde vyčkával na ďalšie príkazy.

Schéma útoku a základné funkcie škodlivého kódu. fotogaléria / 4
Schéma útoku a základné funkcie škodlivého kódu. Zdroj: Check Point

Podľa predbežných výsledkov vyšetrovania obsahuje SimBad tri hlavné funkcie. Prvá z nich slúži na zobrazovanie nevyžiadaných reklám, ktoré útočníkom generujú zisk. Druhá funkcia umožňuje inštaláciu ďalších aplikácií buď z oficiálneho Google Play, alebo z obchodu tretej strany - 9Apps.

Tretia funkcia dokáže otvoriť akúkoľvek URL adresu a nič netušiacemu používateľovi podsunúť napríklad phishingovú stránku. Pri phishingu ide spravidla o napodobeninu oficiálneho webu banky, sociálnych sietí a iných lukratívnych cieľov. Falošný web následne požaduje vyplnenie prihlasovacích údajov, prípadne iných citlivých informácií (číslo platobnej karty a podobne). Ak nič netušiaca obeť tieto údaje vyplní, tak ich v momente získajú útočníci.

V Google Play ich už nenájdete

Počítačoví experti zo spoločnosti Check Point odhalili škodlivý kód ešte 28. januára, pričom svoje zistenia riadne oznámili Googlu. Následne boli všetky aplikácie postupne odstránené a v súčasnosti by sa už nemali nachádzať v oficiálnom obchode Google Play.

Negatívne hodnotenia aplikácií a hier upozornia na záškodnícku činnosť. fotogaléria / 4
Negatívne hodnotenia aplikácií a hier upozornia na záškodnícku činnosť. Zdroj: Bleeping Computer

A ako sa chrániť? V tomto prípade je najjednoduchšou formou ochrany zbežné prečítanie používateľských recenzií k danej aplikácii či hre. Problémové aplikácie totiž často obsahovali negatívne hodnotenia, ktoré priamo upozorňovalo na agresívne zobrazovanie nevyžiadaných reklám.

Diskusia 2 Príspevkov