Google usunęło 85 niebezpiecznych aplikacji ze Sklepu Play. Pobrało je 8 milionów
85 aplikacji fotograficznych, edytorów zdjęć i gier zniknęło ze Sklepu Play. W plikach znajdowało się ukryte narzędzie typu adware o nazwie "AndroidOS_Hidenad.HRXH". Do sprawy doszli eksperci ds. cyberbezpieczeństwa z firmy TrendMicro.
17.08.2019 13:02
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Sklep Play Google'a po raz kolejny okazuje się być siedliskiem niebezpiecznych aplikacji. Jeszcze niedawno Google poinformowało o oprogramowaniu szpiegowskim kryjącym się pod kilkoma aplikacjami. Na początku roku, eksperci z TrendMicro podali listę innych 85 aplikacji, które zniknęły już ze Sklepu Play. Powód był identyczny, co dziś.
Teraz kolejne 85 aplikacji zalanych adwarem zniknęło z androidowego sklepu. Jak podaje TrendMicro, łącznie pobrano je 8 milionów razy. Pełną listę usuniętych aplikacji znajdziecie pod tym adresem.
Co właściwie robił AndroidOS_Hidenad.HRXH?
W momencie odblokowania zarażonego smartfona, ukazywała się pełnoekranowa reklama, której nie sposób było wyłączyć. Co więcej, mogła trwać nawet 5 minut. Dopiero po jej obejrzeniu pojawiała się opcja wyłączenia.
Po każdym odblokowaniu telefonu, aplikacje uruchamiały procedurę sprawdzającą, czy mogą bezpiecznie uruchomić reklamę. Najpierw analizowały aktualny czas (systemowy urządzenia) ze znacznikiem zapisanym jako installTime. Następnie porównywały bieżący czas sieci (querowany za pomocą RESTful API) z oznaczeniem jako networkInstallTime.
Z pomocą tych danych aplikacja była w stanie określić, czy była zainstalowana przez odpowiednią ilość czasu, aby uniknąć wykrycia adware. Dodatkowo, oprogramowanie wykorzystywało mechanizm refleksji Java, umożliwiającą modyfikację zachowania aplikacji podczas weryfikacji przez zabezpieczenia.
To nie koniec sprytnych zabezpieczeń. AndroidOS_Hidenad.HRXH ukrywał ikonę faktycznej aplikacji i zamieniał ją skrótem. Nie dało się odinstalować apki poprzez przeciągnięcie i upuszczenie ikony w sekcji "Odinstaluj". Oczywiście nadal można to zrobić w ustawieniach, ale ofiara mogła nie wiedzieć. Pełne wyjaśnienie działania przeczytacie na blogu TrendMicro.