Η Google αφαίρεσε άλλες 17 Android εφαρμογές από το Play Store. Οι εφαρμογές είχαν μολυνθεί με το Joker malware και εντοπίστηκαν από ερευνητές ασφαλείας της Zscaler.
“Αυτό το spyware έχει σχεδιαστεί για να κλέβει μηνύματα SMS, λίστες επαφών και πληροφορίες συσκευής, ενώ επίσης εγγράφει κρυφά το θύμα σε premium WAP υπηρεσίες (wireless application protocol)“, δήλωσε ο ερευνητής Viral Gandhi.
Οι 17 κακόβουλες εφαρμογές που μεταφορτώθηκαν στο Play Store είχαν συνολικά πάνω από 120.000 λήψεις.
Τα ονόματα των 17 εφαρμογών είναι:
- All Good PDF Scanner
- Mint Leaf Message-Your Private Message
- Unique Keyboard – Fancy Fonts & Free Emoticons
- Tangram App Lock
- Direct Messenger
- Private SMS
- One Sentence Translator – Multifunctional Translator
- Style Photo Collage
- Meticulous Scanner
- Desire Translate
- Talent Photo Editor – Blur focus
- Care Message
- Part Message
- Paper Doc Scanner
- Blue Scanner
- Hummingbird PDF Converter – Photo to PDF
- All Good PDF Scanner
Μόλις ενημερώθηκε η Google για τις κακόβουλες εφαρμογές, ακολούθησε τις προβλεπόμενες διαδικασίες. Αφαίρεσε τις εφαρμογές από το Play Store και χρησιμοποίησε την υπηρεσία Play Protect για να απενεργοποιήσει τις εφαρμογές σε μολυσμένες συσκευές. Ωστόσο, πρέπει και οι χρήστες να αφαιρέσουν τις εφαρμογές από τις συσκευές τους.
Στο Play Store έχουν βρεθεί πολλές εφαρμογές με το Joker malware
Είναι η τρίτη φορά που η Google αφαιρεί εφαρμογές που έχουν μολυνθεί με το Joker malware.
Στις αρχές του μήνα, η εταιρεία αφαίρεσε άλλες έξι τέτοιες εφαρμογές, οι οποίες είχαν αναφερθεί από ερευνητές ασφαλείας της Pradeo.
Τον Ιούλιο, η Google είχε ενημερωθεί για αντίστοιχες εφαρμογές από ερευνητές ασφαλείας της Anquanke. Αυτή η παρτίδα ήταν ενεργή από τον Μάρτιο και κατάφερε να μολύνει εκατομμύρια συσκευές.
Στις περισσότερες περιπτώσεις, οι εφαρμογές αυτές καταφέρνουν να παρακάμψουν τις άμυνες της Google και να φτάσουν στο Play Store, χρησιμοποιώντας μια τεχνική που ονομάζεται “droppers“, όπου η συσκευή του θύματος μολύνεται σε πολλά στάδια. Η τεχνική είναι αρκετά απλή, αλλά καταφέρνει να προσπεράσει τα εμπόδια της Google.
Αρχικά, οι δημιουργοί malware κλωνοποιούν τη λειτουργία μιας νόμιμης εφαρμογής και την ανεβάζουν στο Play Store. Αυτή η εφαρμογή είναι πλήρως λειτουργική, ζητά πολλές άδειες για πρόσβαση σε ευαίσθητα δεδομένα, αλλά δεν εκτελεί κακόβουλες δραστηριότητες όταν εκτελείται για πρώτη φορά.
Οι κακόβουλες ενέργειες ξεκινούν μετά από ώρες ή και ημέρες και έτσι οι σαρώσεις ασφαλείας της Google δεν λαμβάνουν τον κακόβουλο κώδικα, με αποτέλεσμα να επιτρέπεται στην εφαρμογή να περάσει στο Play Store.
Αλλά οι κακόβουλες εφαρμογές κατεβάζουν τελικά και εγκαθιστούν άλλα στοιχεία ή εφαρμογές στη συσκευή. Αυτά τα στοιχεία περιέχουν το Joker malware ή άλλα κακόβουλα λογισμικά.
Το Joker malware, το οποίο η Google ονομάζει εσωτερικά “Bread“, βασίζεται πολύ στην τεχνική dropper. Με αυτόν τον τρόπο έχει καταφέρει να εισχωρήσει πολλές φορές στο Play Store, ίσως περισσότερες φορές από κάθε άλλο malware.
Τον Ιανουάριο, η Google είχε δημοσιεύσει ένα blog post και είχε περιγράψει το Joker malware ως μία από τις πιο επίμονες και προηγμένες απειλές που έχει αντιμετωπίσει τα τελευταία χρόνια. Η Google είπε ότι οι ομάδες ασφαλείας της έχουν καταργήσει περισσότερες από 1.700 εφαρμογές από το Play Store, από το 2017. Αλλά, οι εφαρμογές με το Joker είναι πολύ διαδεδομένες και έχουν αναφερθεί και σε καταστήματα Android εφαρμογών τρίτων εταιρειών.
Οι ερευνητές της Anquanke είπαν ότι έχουν εντοπίσει περισσότερα από 13.000 δείγματα Joker malware από τότε που το κακόβουλο λογισμικό ανακαλύφθηκε τον Δεκέμβριο του 2016.
Η προστασία από το Joker είναι δύσκολη, αλλά οι χρήστες μπορούν να προστατευτούν σε ένα βαθμό, αν είναι προσεκτικοί με τις εφαρμογές που κατεβάζουν. Για παράδειγμα, πρέπει να αποφεύγουν εφαρμογές που ζητούν πρόσβαση σε πολλά δεδομένα και να κοιτάζουν τις αξιολογήσεις άλλων χρηστών.
Άλλες κακόβουλες εφαρμογές
Σύμφωνα με το ZDNet, η Bitdefender ανέφερε μια ομάδα κακόβουλων εφαρμογών στην ομάδα ασφαλείας της Google. Ορισμένες από αυτές τις εφαρμογές εξακολουθούν να είναι διαθέσιμες στο Play Store. Οι ερευνητές δεν ανέφεραν τα ονόματα των εφαρμογών αλλά μόνο τους λογαριασμούς των προγραμματιστών από τους οποίους ανέβηκαν στο Play Store. Οι χρήστες που έχουν εγκαταστήσει εφαρμογές αυτών των προγραμματιστών, θα πρέπει να τις καταργήσουν άμεσα.
- Nouvette
- Piastos
- imirova91
- Progster
- StokeGroove
- VolkavStune