Μια νέα παρτίδα τριάντα πέντε εφαρμογών malware Android που εμφανίζουν ανεπιθύμητες διαφημίσεις βρέθηκε στο Google Play Store, με τις εφαρμογές να έχουν εγκατασταθεί πάνω από 2 εκατομμύρια φορές στις κινητές συσκευές των θυμάτων.
Οι εφαρμογές βρέθηκαν από ερευνητές ασφαλείας στο Bitdefender, οι οποίοι χρησιμοποίησαν μια μέθοδο ανάλυσης συμπεριφοράς σε πραγματικό χρόνο για να ανακαλύψουν τις δυνητικά κακόβουλες εφαρμογές.
Ακολουθώντας τυπικές τακτικές, οι android malware εφαρμογές παρασύρουν τους χρήστες να τις εγκαταστήσουν προσποιούμενοι ότι προσφέρουν κάποια εξειδικευμένη λειτουργικότητα αλλά αλλάζουν το όνομα και το εικονίδιο τους αμέσως μετά την εγκατάσταση, καθιστώντας δύσκολη την εύρεση και την απεγκατάστασή τους.
Από εκεί και πέρα, οι android malware εφαρμογές αρχίζουν να προβάλλουν παρεμβατικές διαφημίσεις στους χρήστες κάνοντας κατάχρηση του WebView, δημιουργώντας ψεύτικα impressions και έσοδα από διαφημίσεις για τους χειριστές τους.
Επιπλέον, επειδή αυτές οι εφαρμογές χρησιμοποιούν το δικό τους framework για τη φόρτωση των διαφημίσεων, πιθανότατα θα ήταν δυνατή η απόρριψη πρόσθετων payloads σε μια παραβιασμένη συσκευή.
Όπως εξηγεί το Bitdefender στην αναφορά, οι εφαρμογές adware εφαρμόζουν πολλαπλές μεθόδους για απόκρυψη στο Android και ακόμη λαμβάνουν και μεταγενέστερες ενημερώσεις για να διευκολύνουν την απόκρυψη σε συσκευές.
Μετά την εγκατάσταση, οι εφαρμογές συνήθως μετατρέπουν το εικονίδιό τους σε γρανάζι και μετονομάζονται σε “Ρυθμίσεις”, για να αποφύγουν τον εντοπισμό και τη διαγραφή.
Εάν ο χρήστης κάνει κλικ στο εικονίδιο, η android εφαρμογή εκκινεί το malware με μέγεθος 0 για να μην φαίνεται στην προβολή. Στη συνέχεια, το malware εκκινεί το νόμιμο μενού των ρυθμίσεων για να ξεγελάσει τους χρήστες ώστε να πιστέψουν ότι πάτησαν τη σωστή εφαρμογή.
Σε ορισμένες περιπτώσεις, οι εφαρμογές παίρνουν την εμφάνιση εφαρμογών συστήματος Motorola, Oppo ή Samsung.
Οι κακόβουλες εφαρμογές διαθέτουν επίσης βαριά παραλλαγμένο κώδικα και κρυπτογράφηση για να εμποδίσουν τις προσπάθειες reverse engineering, κρύβοντας το κύριο Java payload μέσα σε δύο κρυπτογραφημένα αρχεία DEX.
Μια άλλη μέθοδος για την απόκρυψη των malware εφαρμογών android από τον χρήστη είναι να εξαιρεθούν από τη λίστα “Πρόσφατες εφαρμογές”, οπότε ακόμα κι αν εκτελούνται στο παρασκήνιο, το να ελέγξετε τις ανοιχτές εφαρμογές δεν θα σας βοηθήσει να τις βρείτε.
Οι 35 malware εφαρμογές Android έχουν πλήθος λήψεων που κυμαίνεται από 10.000 έως 100.000, συνολικά πάνω από δύο εκατομμύρια λήψεις.
Τα πιο δημοφιλή από αυτά, με 100.000 λήψεις το καθένα, είναι τα ακόλουθα:
- Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren)
- Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour)
- Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder)
- Engine Wallpapers (gb.helectronsoftforty.comlivefour)
- Stock Wallpapers (gb.fiftysubstantiated.wallsfour)
- EffectMania – Photo Editor 2.0 (gb.actualfifty.sevenelegantvideo)
- Art Filter – Deep Photoeffect 2.0 (gb.crediblefifty.editconvincingeight)
- Fast Emoji Keyboard APK (de.eightylamocenko.editioneights)
- Create Sticker for Whatsapp 2.0 (gb.convincingmomentumeightyverified.realgamequicksix)
- Math Solver – Camera Helper 2.0 (gb.labcamerathirty.mathcamera)
- Photopix Effects – Art Filter 2.0 (gb.mega.sixtyeffectcameravideo)
- Led Theme – Colorful Keyboard 2.0 (gb.theme.twentythreetheme)
- Animated Sticker Master 1.0 (am.asm.master)
- Sleep Sounds 1.0 (com.voice.sleep.sounds)
- Personality Charging Show 1.0 (com.charging.show)
- Image Warp Camera
- GPS Location Finder (smart.ggps.lockakt)
Από τα παραπάνω, τα “Walls light – Wallpapers Pack”, “Animated Sticker Master” και “GPS Location Finder” εξακολουθούν να είναι διαθέσιμα στο Play Store κατά τη σύνταξη αυτού του άρθρου.
Οι υπόλοιπες εφαρμογές που αναφέρονται είναι διαθέσιμες σε πολλά third-party app stores, όπως το APKSOS, το APKAIO, το APKCombo, το APKPure και το APKsfull, αλλά οι παρουσιαζόμενοι αριθμοί λήψεων προέρχονται από την εποχή τους στο Play Store.
Τούτου λεχθέντος, εάν έχετε εγκαταστήσει κάποια από αυτές τις εφαρμογές στο παρελθόν, θα πρέπει να τις εντοπίσετε και να τις αφαιρέσετε αμέσως από τη συσκευή σας.
Επειδή οι android malware εφαρμογές μεταμφιέζονται ως Ρυθμίσεις, η εκτέλεση ενός εργαλείου AV για κινητά για τον εντοπισμό και την κατάργησή τους μπορεί να είναι χρήσιμη σε αυτήν την περίπτωση.
Πηγή: bleepingcomputer.com
