Google Sklep Play i kolejne trzy szkodliwe aplikacje. Ale to historia inna niż zazwyczaj
Malware w Sklepie Play pojawia się tak często, że już nikogo to szczególnie nie dziwi. Niniejsza historia jest jednak nieco inna niż zazwyczaj, bowiem nie chodzi tu o wykradanie jakichkolwiek danych, ale bardzo natarczywe reklamy – alarmuje Kaspersky.
01.06.2020 20:02
Aplikacje są trzy. Pierwsza to edytor zdjęć i wideo Cut Cut, druga — służący do optymalizacji systemu FastCleaner, a trzeciej nie wymieniono z nazwy, gdyż, jak podają badacze, deweloper w porę się zreflektował i usunął natarczywy kod. A o co chodzi? O kreatywne podejście twórców do wyświetlania reklam. Bardzo kreatywne.
Po instalacji, każda z wymienionych aplikacji tworzy proces w tle, który jest w pełni niezależny od niej samej. Mówiąc inaczej, działa przez cały czas. Bez względu na to, czy macierzyste narzędzie jest uruchomione, czy nie.
Proces ten odpowiada za komunikację z serwerem kontroli (C&C), skąd pobierane są treści marketingowe i manifest dotyczący ich wyświetlania. W rezultacie za każdym razem, gdy użytkownik odblokowuje smartfon, wyświetla się pochłaniający pół wysokości ekranu blok reklamowy, głównie rosyjskojęzyczny.
Jak zauważa Kaspersky, szkodnik jest o tyle sprytny, że nie wyświetla reklam od razu po instalacji. Odczekuje 12 godzin, aby odsunąć podejrzenia od apki, która właśnie została zainstalowana. Ponadto, zadowala się uprawnieniem dostępu do pamięci masowej, a to może wydawać się bardzo naturalne w kontekście edytora zdjęć czy optymalizatora systemu. W końcu również pracują one na plikach i muszą je czasem nadpisywać bądź usuwać.
Przy czym sama biblioteka odpowiedzialna za te reklamy, com.vision.lib, charakteryzuje się znacznie szerszymi możliwościami niż te przedstawione. Ot, chociażby może też dodawać reklamy w formie skrótów do zasobnika aplikacji. Zdaniem badaczy, nie stanowi ona więc oddolnej inicjatywy twórców wymienionych apek, ale jest elementem jakiegoś SDK. Oznaczałoby to, że nadużyć tego rodzaju w Sklepie Play jest znacznie więcej, tylko jeszcze ich nie odkryto.