Google Sklep Play: usunięto 29 złośliwych aplikacji. Pobrano je 3,5 miliona razy

Badacze z firmy White Ops wykryli grupę aplikacji w Sklepie Play, zawierających złośliwe oprogramowanie. Kryły się pod postacią edytorów zdjęć, a głównie programów umożliwiających funkcję rozmycia w tle.

Kolejne 29 aplikacji znika ze Sklepu Play Google'a /fot. dobreprogramy
Kolejne 29 aplikacji znika ze Sklepu Play Google'a /fot. dobreprogramy
Arkadiusz Stando

29.07.2020 | aktual.: 29.07.2020 15:51

Eksperci ds. cyberbezpieczeństwa z zespołu White Ops Satori Threat Intelligence And Research Team opublikowali nowy wpis na swoim blogu. Informują o zagrożeniu, które znajdowało się w Sklepie Play Google'a, pod postacią aplikacji do edycji zdjęć. Pierwsza na którą natrafili nosiła nazwę Square Photo Blur. Następnie ślad doprowadził ich do kolejnych 28 zainfekowanych programów.

W niektórych przypadkach, aplikacje szybko dawały znać użytkownikowi, że coś jest nie tak. Zaraz po zainstalowaniu, programy usuwały ikonę skrótu z ekranu głównego Androida. Znaleźć je można było jedynie na liście aplikacji w ustawieniach. Złośliwe aplikacje zalewały użytkownika pełnoekranowymi reklamami, wyświetlanymi tuż po odblokowaniu urządzenia.

Google Sklep Play: kampania ChartreuseBlur, czyli 29 złośliwych aplikacji udawało edytory zdjęć

Zespół z WhiteOps nadał tej kampanii nazwę ChartreuseBlur, ponieważ większość z tych aplikacji miała służyć do blurownia, czyli stosowania efektu rozmycia na zdjęciach. Do Sklepu Play, podobnie jak w wielu tego typu przypadkach, trafiły pod fałszywymi nazwiskami twórców. Cyberprzestępcy nawet nie starali się wymyślić imion wyglądających na prawdziwe, a jedynie stworzyli zlepek ze znanych angielskich słów.

Większość z aplikacji miała głównie negatywne recenzje w Sklepie Play. Szczerze mówiąc to dziwne, że zespół bezpieczeństwa Google od razu nie przygląda się tego typu sytuacjom. W komentarzach użytkownicy wyraźnie zaznaczali, że nie są w stanie normalnie korzystać z urządzenia, odkąd zainstalowali aplikację, ponieważ wszędzie wyświetlają im się reklamy.

Aby uniknąć wykrycia przez zabezpieczenia Google Play, aplikacje z grupy ChartreuseBlur wykorzystywały tzw. trzyetapowy proces zrzutu ładunku. W pierwszym z nich, używały packera Qihoo w procesie instalacji. Jak zauważają eksperci z White Ops, to częsty sposób, aby uniknąć wykrycia szkodliwych praktyk.

W drugim etapie aplikacja nie wykazywała jeszcze żadnych szkodliwych funkcji i udawała zwykły program do rozmycia zdjęć. Dopiero trzecia część pozwoliła ekspertom wykryć zagrożenie. Wówczas złośliwy kod zostaje uruchomiony i pojawiają się pełnoekranowe reklamy. Widoczne są, gdy użytkownik odblokuje urządzenie, podłączy je do ładowania oraz włączy lub wyłączy sieć Wi-Fi lub dane komórkowe.

Lista złośliwych aplikacji udostępniona przez White Ops:

  • Auto PictureCut – pobrana 100 tys. razy
  • Color CallFlash – pobrana 50 tys. razy
  • Square PhotoBlur (2 różne pakiety) – pobrane 500 tys. razy
  • Square BlurPhoto (2 różne pakiety) – pobrane 500 tys. razy
  • Magic CallFlash (2 różne pakiety) – pobrane 50 tys. razy
  • Easy Blur – pobrana 100 tys. razy
  • Image Blur (2 różne pakiety) – pobrane 100 tys. razy
  • Auto PhotoBlur – pobrana 100 tys. razy
  • Photo Blur – pobrana 500 tys. razy
  • Photo BlurMaster (2 różne pakiety) –  pobrane 100 tys. razy
  • Super CallScreen (2 różne pakiety) –  pobrane 100 tys. razy
  • Square BlurMaster – pobrana 100 tys. razy
  • Square Blur – pobrana 50 tys. razy
  • Smart BlurPhoto – pobrana 500 tys. razy
  • Smart PhotoBlur – pobrana 500 tys. razy
  • Super CallFlash – pobrana 100 tys. razy
  • Smart CallFlash – pobrana 50 tys. razy
  • Blur PhotoEditor – pobrana 5 tys. razy
  • Blur Image (4 różne pakiety) – pobrane 10 tys. razy

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (54)