Google Sklep Play: usunięto 29 złośliwych aplikacji. Pobrano je 3,5 miliona razy
Badacze z firmy White Ops wykryli grupę aplikacji w Sklepie Play, zawierających złośliwe oprogramowanie. Kryły się pod postacią edytorów zdjęć, a głównie programów umożliwiających funkcję rozmycia w tle.
Eksperci ds. cyberbezpieczeństwa z zespołu White Ops Satori Threat Intelligence And Research Team opublikowali nowy wpis na swoim blogu. Informują o zagrożeniu, które znajdowało się w Sklepie Play Google'a, pod postacią aplikacji do edycji zdjęć. Pierwsza na którą natrafili nosiła nazwę Square Photo Blur. Następnie ślad doprowadził ich do kolejnych 28 zainfekowanych programów.
W niektórych przypadkach, aplikacje szybko dawały znać użytkownikowi, że coś jest nie tak. Zaraz po zainstalowaniu, programy usuwały ikonę skrótu z ekranu głównego Androida. Znaleźć je można było jedynie na liście aplikacji w ustawieniach. Złośliwe aplikacje zalewały użytkownika pełnoekranowymi reklamami, wyświetlanymi tuż po odblokowaniu urządzenia.
Google Sklep Play: kampania ChartreuseBlur, czyli 29 złośliwych aplikacji udawało edytory zdjęć
Zespół z WhiteOps nadał tej kampanii nazwę ChartreuseBlur, ponieważ większość z tych aplikacji miała służyć do blurownia, czyli stosowania efektu rozmycia na zdjęciach. Do Sklepu Play, podobnie jak w wielu tego typu przypadkach, trafiły pod fałszywymi nazwiskami twórców. Cyberprzestępcy nawet nie starali się wymyślić imion wyglądających na prawdziwe, a jedynie stworzyli zlepek ze znanych angielskich słów.
Większość z aplikacji miała głównie negatywne recenzje w Sklepie Play. Szczerze mówiąc to dziwne, że zespół bezpieczeństwa Google od razu nie przygląda się tego typu sytuacjom. W komentarzach użytkownicy wyraźnie zaznaczali, że nie są w stanie normalnie korzystać z urządzenia, odkąd zainstalowali aplikację, ponieważ wszędzie wyświetlają im się reklamy.
Aby uniknąć wykrycia przez zabezpieczenia Google Play, aplikacje z grupy ChartreuseBlur wykorzystywały tzw. trzyetapowy proces zrzutu ładunku. W pierwszym z nich, używały packera Qihoo w procesie instalacji. Jak zauważają eksperci z White Ops, to częsty sposób, aby uniknąć wykrycia szkodliwych praktyk.
W drugim etapie aplikacja nie wykazywała jeszcze żadnych szkodliwych funkcji i udawała zwykły program do rozmycia zdjęć. Dopiero trzecia część pozwoliła ekspertom wykryć zagrożenie. Wówczas złośliwy kod zostaje uruchomiony i pojawiają się pełnoekranowe reklamy. Widoczne są, gdy użytkownik odblokuje urządzenie, podłączy je do ładowania oraz włączy lub wyłączy sieć Wi-Fi lub dane komórkowe.
Lista złośliwych aplikacji udostępniona przez White Ops:
- Auto PictureCut – pobrana 100 tys. razy
- Color CallFlash – pobrana 50 tys. razy
- Square PhotoBlur (2 różne pakiety) – pobrane 500 tys. razy
- Square BlurPhoto (2 różne pakiety) – pobrane 500 tys. razy
- Magic CallFlash (2 różne pakiety) – pobrane 50 tys. razy
- Easy Blur – pobrana 100 tys. razy
- Image Blur (2 różne pakiety) – pobrane 100 tys. razy
- Auto PhotoBlur – pobrana 100 tys. razy
- Photo Blur – pobrana 500 tys. razy
- Photo BlurMaster (2 różne pakiety) – pobrane 100 tys. razy
- Super CallScreen (2 różne pakiety) – pobrane 100 tys. razy
- Square BlurMaster – pobrana 100 tys. razy
- Square Blur – pobrana 50 tys. razy
- Smart BlurPhoto – pobrana 500 tys. razy
- Smart PhotoBlur – pobrana 500 tys. razy
- Super CallFlash – pobrana 100 tys. razy
- Smart CallFlash – pobrana 50 tys. razy
- Blur PhotoEditor – pobrana 5 tys. razy
- Blur Image (4 różne pakiety) – pobrane 10 tys. razy
