Złośliwy plugin wykryty w 238 aplikacjach w Google Play

Specjaliści ds. cyberbezpieczeństwa wykryli 238 aplikacji zainfekowanych złośliwym pluginem. Programy udostępniono do pobrania w Google Play. Kłopotliwy moduł znacząco utrudniał korzystanie ze smartfonów, uniemożliwiając odpowiadanie na połączenia i korzystanie z innych aplikacji.

Na tropie złośliwego kodu

Na trop złośliwego pluginu wpadli eksperci ds. cyberbezpieczeństwa z firmy Lookout Mobile Security. O swoim odkryciu poinformowali na stronie internetowej. Okazało się, że aż 238 zarażonych programów stworzonych przez chińską firmę CooTek było dostępnych w Google Play przez ponad pół roku. Złośliwy moduł utrudniał życie użytkownikom smartfonów, którzy zainstalowali którąś z aplikacji nie będąc świadomymi zagrożenia. Średnia ilość pobrań zainfekowanych programów to 440 milionów.  

Sprytny adware

Same programy dostarczane przez chińskich developerów można uznać za całkiem użyteczne, o czym może świadczyć wysoka liczba ich pobrań. Rzeczony plugin należy jednak do wyjątkowo nachalnych przykładów adware’u. BeiTaPlugin, bo tak nazywa się problematyczny moduł, stanowi część wszystkich aplikacji dostarczanych przez CooTek. Jego działanie polega na bardzo natarczywym wyświetlaniu reklam, które uniemożliwia odpowiadanie na połączenia, a nawet korzystanie z innych programów. Twórcy plugina, najwidoczniej bardzo zdeterminowani w celu uzyskania dochodów z reklam, przyjęli również całkiem ciekawą taktykę skutecznie utrudniającą użytkownikom smartfonów zlokalizowanie źródła problemu. Aby trudniej było namierzyć aplikację odpowiedzialną za wywoływanie niepożądanych skutków, uciążliwe, pojawiające się w losowych miejscach ekranu reklamy uruchamiały się co najmniej po upływie doby, a w niektórych przypadkach nawet po kilku tygodniach od pierwszego włączenia zainfekowanego programu (wcześniej pojawiały się tylko w obrębie aplikacji). Po upłynięciu odpowiedniego czasu pojawiała się pierwsza z nich, a wówczas nie było już odwrotu. Użytkownicy byli bombardowani ogromną ilością reklam złośliwych do tego stopnia, że potrafiły one emitować bardzo głośne dźwięki nawet nocą, i to pomimo włączonej blokady ekranu.

Google nie zawsze sobie radzi

Trzeba przyznać, że reakcji Google’a na zgłoszenie problemu trudno jest cokolwiek zarzucić. Zaraz po otrzymaniu sygnału od Lookout Mobile Security złośliwy moduł został usunięty z wszystkich 238 zainfekowanych aplikacji. Fakt, że Google przez ponad pół roku nie wykrył kłopotliwego oprogramowania i musiał polegać w tej sprawie na stronie trzeciej, nie napawa jednak optymizmem. W przeszłości przedstawiciele giganta technologicznego odpowiedzialnego za system Android wielokrotnie zapewniali, że wszystkie aplikacje, które mają trafić do Google Play są gruntownie sprawdzane m.in. pod względem bezpieczeństwa. Kolejna kłopotliwa sytuacja, która stała się udziałem wielu użytkowników, może budzić wątpliwości co do prawdziwości tych deklaracji. Teoretycznie pliki odpowiedzialne za uciążliwe działanie aplikacji powinny zostać wykryte przez system Google Protect, który w sposób stały skanuje instalowane aplikacje w poszukiwaniu złośliwego kodu. Jakimś sposobem system ten został jednak pokonany. Eksperci z Lookout Mobile Security ujawnili, że we wcześniejszych wersjach adware miał postać niezaszyfrowanego pliku dex o nazwie beita.renc umieszczonego w katalogu assets/components, a później zmieniono tytuł na icon-icomoon-gemini.renc i zaszyfrowano całość za pomocą Advanced Encryption Standard.


Źródło: chip.pl, ithardware.pl

Patronujemy

 
 
Polecamy
Kawał historii internetu ocalony. Prasówka Technologiczna: 5.04.2019 r.