Acasă IT APLICAȚIILE MALWARE DIN GOOGLE PLAY

APLICAȚIILE MALWARE DIN GOOGLE PLAY

51
0

Google Play, magazinul online pentru aplicații Android a găzduit, din nou, aplicații frauduloase și potențial dăunătoare dispozitivelor electronice. Au fost descoperite peste 56 de aplicații, multe dintre ele pentru copii, care au fost instalate pe aproximativ 1,7 milioane de dispozitive.

Tekya este o familie de programe malware, care generează clicuri frauduloase, prin intermediul anunțurilor și bannere-lor livrate de companii precum AdMob, AppLovin’, Facebook și Unity, pe motorul de căutare Google. Pentru o autenticitate a clicurilor cât mai bună, codul, bine ascuns, obligă dispozitivele infectate să utilizeze un mecanism Android numit „MotionEvent”, pentru a imita acțiunile frecvente ale utilizatorilor. În momentul în care cercetătorii de la firma de securitate Check Point au descoperit aplicațiile malware, au observat că acestea nu au fost detectate de către site-urile web VirusTotal și Google Play Protect. Douăzeci și patru de aplicații care conțineau Tekya au fost comercializate copiilor. Google a eliminat toate cele 56 de aplicații, ca urmare a informației furnizate de către compania Check Point.

Descoperirea „evidențiază încă o dată faptul că Magazinul Google Play poate găzdui în continuare aplicații dăunătoare”, au scris, într-o postare, Israel Wernik, Danil Golubenko și Aviran Hazum, cercetători în cadrul companiei Check Point.

„Există aproape 3 milioane de aplicații disponibile în Magazin Google Play, sute de aplicații noi fiind încărcate zilnic, ceea ce face dificilă verificarea fiecărei aplicații. Astfel, utilizatorii nu se pot baza doar pe măsurile de securitate oferite de serviciul Google Play, pentru a se asigura că dispozitivele lor sunt protejate”, adaugă cercetătorii.

Pentru a face virusul mai greu de detectat, aplicațiile au fost scrise în codul Android nativ, în limbajele de programare C și C++. Aplicațiile Android folosesc, de obicei, limbajul de programare Java, pentru a implementa logica. Interfața acestui limbaj le oferă dezvoltatorilor posibilitatea de a accesa mai multe niveluri de abstractizare. Codul nativ, în schimb, este implementat la un nivel mult mai scăzut. În timp ce Java poate fi decompilată cu ușurință, un proces care convertește fișierele binare înapoi în codul sursă lizibil pentru om, este mult mai greu de realizat.

Odată instalate, aplicațiile Tekya înregistrează un receptor de transmisie care efectuează mai multe acțiuni, inclusiv:

  • BOOT_COMPLETED – pentru a permite rularea codului la pornirea dispozitivului;
  • USER_PRESENT – pentru a detecta situațiile în care utilizatorul folosește în mod activ dispozitivul;
  • QUICKBOOT_POWERON – pentru a permite rularea codului după repornirea dispozitivului.

Scopul unic al receptorului este de a încărca librăria nativă „libtekya.so” în dosarul librăriei din fișierul ,,.apk” al fiecărei aplicații. Punctul de verificare oferă foarte multe detalii tehnice, despre modul de funcționare al codului. Reprezentanții Google au confirmat că aplicațiile au fost eliminate din serviciul Play Store.

Furnizorul de antivirus, Dr.Web, a raportat, de asemenea, descoperirea unui număr nedezvăluit de aplicații Google Play, descărcate de peste 700.000 de ori, care conțineau programe malware denumite Android.Circle.1.

Programul malware a folosit codul bazat pe limbajul de scriptare BeanShell și a combinat atât programul software utilizat pentru publicitate, numit ,,adware” cât și funcțiile de tip ,,click-fraud”. Virusul malware a suferit 18 modificări, putând fi utilizat pentru a efectua atacuri de tip ,,phishingsau înșelăciune electronică.

Postarea făcută de suita de software-uri anti-malware Dr.Web nu a menționat toate aplicațiile care conțineau Android.Circle.1. Printre aplicațiile identificate se enumeră Wallpaper Black-Dark Background, Horoscope 2020-Zodiac Horoscope, Sweet Meet, Cartoon Camera și Bubble Shooter. Compania Google a eliminat toate aplicațiile raportate de către Dr. Web.

Dispozitivele Android dezinstalează adesea aplicațiile care conțin viruși, dar mecanismul nu funcționează întotdeauna așa cum ar trebui.

Fără îndoială, scanările Google detectează un procent mare de aplicații malware, din serviciul Google Play. Însă, un număr semnificativ de utilizatori continuă să-și viruseze dispozitivele cu programe malware, care ocolesc aceste verificări.

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.