Τα παιχνίδια “Εκγύμνασης Μυαλού» και τα τεστ IQ είναι δημοφιλή αυτή τη στιγμή, και οι εκδόσεις για κινητά, όπου οι άνθρωποι μπορούν να κατεβάσουν, ενώ περιμένουν στον οδοντίατρο ή για ιππασία ή και το μετρό είναι ακόμα περισσότερες. Οι συγγραφείς επιχειρηματικών malware έχουν επινοήσει έναν τρόπο για να επωφεληθούν από αυτό, με ένα νέο malware στο Google Play Store, όπου γίνονται ένα με ένα παιχνίδι νοημοσύνης.
Σύμφωνα με την Check Point Software, η εφαρμογή BrainTest, έχει δημοσιευθεί να παίζει σε διπλό ταμπλό, με μεταξύ 100.000 και 500.000 λήψεις κάθε φορά, σύμφωνα με στατιστικά στοιχεία της Google. Ήταν σε θέση να παρακάμψει τη σάρωση ασφαλείας της Google mobile apps χρησιμοποιώντας μια σειρά τεχνικών.
«Έχει ένα οπλοστάσιο κλιμακούμενων προνομίων προς εκμετάλλευση, το οποίο χρησιμοποιείται για να εγκαταστήσει ένα rootkit στη συσκευή, έτσι ώστε να μπορεί να μείνει στη συσκευή ακόμα και αν ο χρήστης το απεγκαταστήσει», επισήμαναν σε ανάλυση οι ερευνητές της Check Point. «Το [rootkit] επιτρέπει στη συσκευή να κατεβάσει και να εκτελέσει οποιονδήποτε κώδικα ενός κυβερνο-εγκληματία τον οποίο θέλει τρέξει -για παράδειγμα, την εμφάνιση ανεπιθύμητων διαφημίσεων, ή δυνητικά, το κατέβασμα και την ανάπτυξη ενός ωφέλιμου φορτίου που κλέβει τα διαπιστευτήρια από μία μολυσμένη συσκευή.»
Το κακόβουλο λογισμικό εντοπίστηκε για πρώτη φορά σε ένα Nexus 5 smartphone, και ακόμα και όταν ο χρήστης επιχείρησε να αφαιρέσει το μολυσμένο app, το κακόβουλο λογισμικό επανεμφανίστηκε στην ίδια συσκευή αμέσως μετά.
Οι δημιουργοί του κακόβουλου λογισμικού χρησιμοποίησαν πολλαπλές μεθόδους για να αποφύγουν τον εντοπισμό τους από την Google, συμπεριλαμβανομένου της αποφυγής του Android εργαλείου άμυνας «Bouncer» της Google, το οποίο σαρώνει τις εφαρμογές που μπαίνουν στο Play store.
«Ανιχνεύει αν το malware τρέχει από μια διεύθυνση IP ή domain που αντιστοιχίζεται με το Google Bouncer και αν συμβαίνει αυτό δεν θα επιδιώξει να εκτελέσει κακόβουλες δραστηριότητες», εξήγησε η Check Point. «Ένα εργαλείο που προκάλεσε σύγχυση χρησιμοποιήθηκε για να συγκαλύψει το κακόβουλο λογισμικό, μιας και μόνο έτσι θα μπορούσε να ανέβει εκ νέου στο Google Play μετά την πρώτη απομάκρυνση του.»
Η Google αφαίρεσε την πρώτη απόπειρα της malware εφαρμογής από το Google Play στις 24 Αυγούστου 2015, αλλά ήταν σύντομα πίσω με μια νέα απόπειρα και με διαφορετικό όνομα πακέτου, το οποίο χρησιμοποιεί τον ίδιο κωδικό. Η έκδοση αυτή αφαιρέθηκε από το Play store στις 15 Σεπτεμβρίου, αλλά όποιος έχει κατεβάσει το app θα πρέπει να ενημερωθεί για το θέμα.
