Google usunął 9 szkodliwych aplikacji ze Sklepu Play. Pobrano je 470 tysięcy razy
Kolejne złośliwe aplikacje zostały wykryte w Sklepie Play. Problemu nie pomogły zaobserwować zabezpieczenia Google'a. Łącznie 9 aplikacji pobranych ponad 470 tysięcy razy zgłosili eksperci z TrendMicro. Podobno aplikacje miały zostać już usunięte, ale część z nich nadal widnieje w Sklepie Play po wyszukaniu przez Google.
07.02.2020 13:58
Ze Sklepu Play została usunięta grupa aplikacji zawierająca plik AndroidOS_BadBooster.HRX. Programy pobrano łącznie ponad 470 tysięcy razy. Ich nazwy sugerowały, że są przydatnymi narzędziami np. Rocket Cleaner, Super Cleaner itp. Niektóre z nich miały służyć do optymalizacji pracy systemu, połączenia VPN czy były kolekcją gier.
Pobranie tych z pozoru przydatnych aplikacji kończyło się dla ofiary fatalnie. Po zainstalowaniu potajemnie łączyły się z serwerami przestępców i pobierały nawet 3000 różnych rodzajów złośliwego oprogramowania. Część z nich była w stanie nawet przejąć dane logowania kont Facebook czy Google. Według ekspertów z TrendMicro, ten rodzaj malware był aktywny w Sklepie Play od 2017 roku.
Po pobraniu zainfekowanych plików, na smartfonie pojawiały się aplikacje niewidoczne zarówno na ekranie głównym, jak i w liście programów. Ofiary mogły nawet nie zdawać sobie sprawy z tego, do czego jest wykorzystywane ich urządzenie.
Google Play Protect nadal do niczego, a przestępcy robią co chcą
Aplikacje wykorzystywały legalne platformy reklamowe, takie jak Google AdMob czy Facebook Audience Network, do których uzyskały dostęp. Następnie wymuszały na użytkownikach oglądanie reklam. Na smartfonach pojawiały się także zewnętrzne aplikacje dające nagrody za oglądanie reklam. Następnie wyświetlano je w środowisku wirtualnym.
Nakłaniały także użytkowników do wyłączania systemu Google Play Protect, odpowiedzialnego za wyszukiwanie złośliwego oprogramowania. W tym momencie bez problemu mogły pobierać każdą ilość i każdy rodzaj szkodliwych plików.
Uzyskanie dostępów do Facebooka i Google'a kończyło się nie tylko zalewaniem reklamami. Konta były wykorzystywane do wystawiania recenzji wszystkich aplikacji należących do kampanii malware. Oczywiście każda z nich wyglądała tak samo, więc można było się domyślić, z czym mamy do czynienia.