Analýzy hrozeb

Neodbytný malware na Google Play, který se jen tak nevzdá

Nikolaos Chrysaidos, 6. srpna 2015

Neodbytný malware na Google Play, který se jen tak nevzdá

Tým autorů škodlivých souborů neboli malware si s Google Play hraje hru na kočku a myš. Hra vypadá následovně: oni nahrají malware na Google Play, Google Play jej rychle stáhne, oni znovu nahrají novou mutaci a Google ji opět stáhne. Aktuální status hry: malware je zpět na Google Play. Dosud škodlivé aplikace nakazily statisíce nevinných uživatelů.

V dubnu jsme na Google Play objevili škodlivý malware odkazující na stránky s obsahem pro dospělé, který se vydával za populární aplikaci Dubsmash.

Mutující malware

V minulém týdnu jsme Google Play nahlásili mutaci výše uvedeného malware, za níž stojí turecká skupina autorů. I ta byla následně z obchodu Google Play odstraněna.

Jakmile si uživatel aplikaci stáhnul do telefonu a spustil ji, tak se mu zobrazil pouze statický obrázek. Aplikace se žádným jiným způsobem neprojevovala. Nicméně v momentě, kdy nic netušící oběť otevřela prohlížeč nebo jinou aplikaci, začala tato podvodná aplikace běžet na pozadí a přesměrovávat uživatele na stránky s obsahem pro dospělé. Uživatelé zpravidla neměli nejmenší tušení, odkud k přesměrování na tyto stránky dochází. Zabránit tomu šlo pouze tak, že uživatel aplikaci zcela zastavil a zavřel. Kolegové ze společnosti ESET počátkem týdne objevili a nahlásili, že se na Google Play objevily podobné mutace tohoto malware. ESET mimo jiné uvedl, že původní formy malware se v květnu objevily na Google Play vícekrát. Naše zjištění spolu se závěry ESETu dokazují, že tito autoři virů a malware jsou velmi cílevědomí a neodbytní a rozhodli se z Google Play udělat místo s trvalým výskytem škodlivých souborů.

Brzy budu zpět…

… to si zřejmě v duchu řekli autoři tohoto druhu malware, jakmile byly jejich aplikace z Obchodu Google Play staženy. A neuběhl ani týden a jimi vytvořený malware byl skutečně zpět na Google Play! Malware, který Avast detekuje pod názvem Clicker-AR se objevil v následujcích aplikacích: Doganin Güzellikleri, Doganin Güzellikleri 2 a Doganin Güzellikleri 3. Tento název aplikací se dá volně přeložit jako „Krásy přírody“. Avast již tyto škodlivé aplikace nahlásil Google Play.

Mobilní malware s názvem Clicker-AR

Jak se lze proti tomuto typu škodlivých aplikací bránit?

Upřímně řečeno, Google nemá snadnou úlohu. Musí udržovat v chodu nejpopulárnější mobilní operační systém na světě spolu s Obchodem, který nabízí kolem 1,5 milionu aplikací. A to je sama o sobě velká výzva.

A právě v tento moment vstupují do boje bezpečnostní firmy jako Avast. Od operačního systému Windows na PC totiž také neočekáváte, že vás sám o sobě ochrání před viry a malware na 100 %. Stejně jako si do PC nainstalujete antivirus, který zajistí sofistikovanější ochranu před různými hrozbami nad rámec základního zabezpečení, tak byste si úplně ve stejném duchu měli nainstalovat antivirus i do mobilního zařízení a předejít tak nepříjemnostem, které vás mohou potkat na této platformě. A že jich není málo... Stále více a více lidí využívá chytré telefony a tablety, na kterých ukládají nepřeberné množství cenných osobních informací. Takto velká cílová skupina v kombinaci s cennými daty přirozeně dělá z mobilních zařízení atraktivní cíl pro kyber-útočníky, kteří jsou odhodlaní data zneužít.

Opatrnosti není nikdy dost

Kromě instalace antiviru do mobilního zařízení doporučujeme následující:

  1. Věnujte pozornost oprávněním pro jednotlivé aplikace (apps permissions) – Pokud aplikace při instalaci vyžaduje oprávnění, které vám přijde podezřelé nebo zbytečné (nesouvisí např. s hlavní činností dané aplikace), pak buďte opatrní, protože je možné, že s aplikací nebude něco v pořádku.
  2. Čtěte recenze k aplikacím – Negativní recenze mohou být znamením, že není dobrý nápad si danou aplikaci do telefonu nebo tabletu stáhnout. Zaměřujte se zejména na nejnovější recenze k aktuálním verzím aplikací.

Stáhněte si zdarma z Google Play aplikaci Avast Mobile Security.

Pro geeky přikládáme heše tří výše zmíněných aplikací:

d8adb784d08a951ebacf2491442cf90d21c20192085e44d1cd22e2b6bdd4ef5f

2a14b4d190303610879a01fb6be85d577a2404dfb22ab42ca80027f3b11f1a6f

d05dcddecc2f93a17b13aa6cca587a15c4d82fe34fdb5e3acf97ddaaefb61941

*Zdá se, že "Zaren" si všiml, že jsme mu s Avastem v patách, a tak si změnil jméno svého účtu na Google Play…

zarencorp