Edytory zdjęć ukrywają złośliwe oprogramowanie w Google Play!

Przeczytaj także: "Bankowość uniwersalna Polska" kradnie pieniądze

Niestety ten przypadek nie jest odosobnionym. W przeszłości zdarzało się już, że złośliwe oprogramowanie zdołało pomyślnie przejść przez kontrolę i niewykryte trafić wprost do zasobów Google Play. O takiej sytuacji SophosLabs informował Google już na początku tego roku. Wówczas odkryto przeszło tuzin złośliwych aplikacji, co stało się podstawą opublikowania skierowanego do użytkowników Androida raportu ostrzegającego przed szkodliwym oprogramowaniem Guerilla.

Aplikacje, w których kryje się Guerilla działają w narzędziach, przeważnie w grach, latarkach oraz edytorach zdjęć. Podczas ich użytkowania kontaktują się ze zdalnymi serwerami, skąd otrzymują instrukcje do pobrania złośliwych plików JAR (Java Archive).

Dodatkowy kod Java odpowiada za generowanie nieuczciwych przychodów z reklam dla twórców aplikacji - telefon sam, bez świadomości i jakiejkolwiek ingerencji użytkownika, klika w reklamy Google.

Nowa wersja aplikacji Guerilla wykazuje kilka technicznych różnic w stosunku do tych usuniętych z Google Play na początku 2018 roku.

Podobnie jak wcześniejsze aplikacje, najnowsze ukrywają swoje obciążenia w folderach zasobów (ze ściągniętymi aplikacjami) jako pliki tekstowe. Tym razem wokół aplikacji używają nazw plików atop.txt lub atgl.txt.

W oczywisty sposób, aby uniknąć ich wykrycia, pliki JAR są szyfrowane za pomocą algorytmu DES i odszyfrowywane przez telefon.

W oczywisty sposób, aby uniknąć ich wykrycia, pliki JAR są szyfrowane za pomocą algorytmu DES i odszyfrowywane przez telefon.

Dotyczy to następujących pakietów:

Co robić?

„We wszystkich obszarach cyberbezpieczeństwa zalecamy pełną strategię ochrony przed złośliwym oprogramowaniem - mówi Mariusz Rzepka, Dyrektor Sophos na obszar Europy Wschodniej.

Wciąż Google Play pozostaje najbezpieczniejszym narzędziem na ściągnięcie aplikacji na Androida. Chociaż złośliwe oprogramowanie znajdowane jest tam dość regularnie, wciąż jest to stosunkowo rzadkie zdarzenie. Google Play nie jest doskonały, lecz jest jednak o wiele bezpieczniejszy niż inne, nieuregulowane prawnie sklepy z aplikacjami.

„Ponieważ proces kontroli aplikacji nie jest bezbłędny, zalecamy korzystanie z oprogramowania zabezpieczającego przed złośliwym oprogramowaniem typu Intercept X z technologią Deep Learning jak również z ochrony w telefonie, na przykład z darmowego Sophos Mobile Security dla systemu Android. To systemy wspierające wymagania RODO” – dodaje Mariusz Rzepka.