Nie ma tygodnia, w którym nie słyszelibyśmy o kolejnych śmieciowych aplikacjach usuwanych ze Sklepu Play. W ostatnim czasie eksperci ds. cyberbezpieczeństwa wzięli sobie do serca wykrywanie adware'ów na Androida. Tym razem ekipa z Wandera wzięła pod lupę "Sun Pro Beauty Camera" oraz "Funny Sweet Beauty Selfie Camera".
Schemat działania aplikacji do złudzenia przypomina ten, o którym pisałem zaledwie miesiąc temu. Wówczas eksperci z TrendMicro wykryli 85 aplikacji, w których wnętrzu krył się "AndroidOS_Hidenad.HRXH". Złośliwa bestia. Nikogo nie okrada, ale działanie tego adware jest strasznie irytujące.
Tak samo jest w przypadku dwóch wykrytych przez Wandera aplikacji. Po ich pobraniu oraz uruchomieniu, aplikacja zamienia plik docelowy aplikacji ze skrótem. W efekcie przesunięcie palcem do strefy "usunięcia" powoduje jedynie pozbycie się skrótu. Aplikacja nadal działa.
Złośliwe działanie aplikacji "Sun Pro Beauty Camera" oraz "Funny Sweet Beauty Selfie Camera" jest delikatnie inne. W przypadku tej pierwszej, nawet nie trzeba jej nigdy uruchomić, a będzie zalewać smartfona pełnoekranowymi reklamami, które ciężko jest wyłączyć. W przypadku tej drugiej, sytuacja wygląda trochę inaczej. Dopiero po wykonaniu zdjęcia oraz zapisaniu go w pamięci smartfona aplikacja uruchamiała pełnoekranowe reklamy.
Jakim cudem to przeszło? Google strzela sobie w stopę
Oszuści się zabezpieczyli. Pakiety instalacyjne obu aplikacji wykorzystywały chiński program pakujący Ijiami. Używa się go, aby chronić pliki instalacyjne APK przed rozpakowywaniem i analizą bezpieczeństwa. Zazwyczaj korzystają z nich twórcy gier, aby ich konkurenci nie byli w stanie skopiować kodu. Pytanie, dlaczego Google pozwala na takie praktyki?
To jeszcze nie koniec. Oto lista uprawnień, na które zgadzali się instalujący obie aplikacje: RECORD_AUDIO - Zezwala aplikacji na nagrywanie dźwięku w dowolnym momencie bez potrzeby pytania użytkownika o zgodę, INSTALL_SHORTCUT - Umożliwia aplikacji na podmiankę pliku ze skrótem, SYSTEM_ALERT_WINDOW - pozwala wyświetlać treść ponad innymi aplikacjami, co może sprawić, że użytkownik niechcący kliknie w coś, czego nie chciał, Funny Sweet Beauty Camera posiada dokładnie takie same uprawienia z jednym dodatkiem. "RECEIVE_BOOT_COMPLETED" - Zezwala aplikacji na aktywację od razu po uruchomieniu telefonu.
