Trojanizowane aplikacje na Androida zalewają sklepy firm trzecich, naruszają telefony

Atakujący tworzą nieuczciwe wersje popularnych aplikacji na Androida, które zagrażają bezpieczeństwu urządzeń i są niezwykle trudne do usunięcia.

Badacze z mobilnej firmy bezpieczeństwa Lookout znaleźli ponad 20 000 próbek takich trojanizowanych aplikacji. Są to zazwyczaj w pełni funkcjonalne kopie najlepszych aplikacji na Androida, takich jak Candy Crush, Facebook, Google Now, NYTimes, Okta, SnapChat, Twitter lub WhatsApp, ale z dodanym złośliwym kodem.

Celem tych nieuczciwych aplikacji jest agresywna wyświetlaj reklamy na urządzeniach. Straszny rozwój polega jednak na tym, że w przeciwieństwie do tradycyjnego oprogramowania adware, rootują urządzenia, w których są instalowane, aby uniemożliwić użytkownikom ich usunięcie.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

W systemie Android świat, rootowanie urządzenia odnosi się do procesu uzyskiwania uprawnień administracyjnych - konta root. Aplikacja z dostępem do roota może wydostać się z ograniczonej przestrzeni izolowanej i przejąć kontrolę nad całym urządzeniem, jego aplikacjami i danymi.

Dobrą wiadomością jest to, że te trojanizowane aplikacje są w większości dystrybuowane przez sklepy innych firm, więc nie stanowią bezpośrednie zagrożenie dla użytkowników, którzy pobierają aplikacje tylko z Google Play.

Istnieją jednak uzasadnione powody, by użytkownicy korzystali z zewnętrznych sklepów z aplikacjami, które często mają aplikacje, które nie są dozwolone w Google Play, ponieważ nie mogą spełniać warunków sklepu. różne terminy. Internetowe gry hazardowe i aplikacje porno to dwa przykłady.

Firma Lookout odnotowała największą liczbę wykrytych przypadków w przypadku trojanizowanych aplikacji w takich krajach jak USA, Niemcy, Iran, Rosja, Indie, Jamajka, Sudan, Brazylia, Meksyk i Indonezja.

Naukowcy zidentyfikowali trzy oddzielne rodziny aplikacji adware, które automatycznie uszkadzają urządzenia, nazwane Shedun, Shuanet i ShiftyBug, które mogą być powiązane.

Osoby atakujące te zagrożenia prawdopodobnie używają automatyzacji, aby przepakować najpopularniejsze legalne aplikacje z Google Play i przesłać je do mniej kontrolowanych sklepów firm trzecich. To by wyjaśniało dużą liczbę próbek.

"Spodziewamy się, że ta klasa trojanizowanych adware będzie w dalszym ciągu zdobywać wyrafinowanie w miarę upływu czasu, wykorzystując przywileje roota do dalszego wykorzystywania urządzeń użytkowników, pozwalając dodatkowemu szkodnikowi uzyskać uprawnienia do odczytu lub zapisu w katalogu systemowym, i lepiej ukryć dowody jego obecności i działań "- powiedzieli naukowcy w poście na blogu